Mythos en de Wet van Amara: voorbij de mythes rond AI in cybersecurity

In een vorm van dialectiek die qua snelheid en massaliteit alleen in tijden van digitale technologie mogelijk is, trachtten Mythos-busters daarna direct om de hype te ontkrachten. Zo zouden andere tools al geruime tijd vergelijkbare resultaten boeken als Mythos, bleken meerdere geclaimde kwetsbaareden onterecht, en waren meerdere geclaimde kwetsbaarheden niet te verifiëren door een gebrek aan transparantie van Anthropic. 

Speuren gaat sneller

Mijn voorzichtige oordeel: voor beide kanten is wat te zeggen. Het is duidelijk dat geautomatiseerd speuren naar kwetsbaarheden sneller gaat door toepassing van AI. Deze ontwikkeling gaat ook snel. Toen ik een klein jaar geleden een expert van een gerenommeerd cybersecuritybedrijf sprak, vertelde hij nog dat cybercriminelen AI-tools nog maar mondjesmaat gebruikten. ‘Traditionele’ tools voldeden nog prima om slachtoffers te maken en waren simpelweg goedkoper. Toen ik dezelfde expert recent weer sprak, hadden ze net het eerste aanval behandeld die bijna volledig met een AI-tool was uitgevoerd.

Aan de andere kant zijn de reacties van de critici ook begrijpelijk. AI-bedrijven hebben er in het huidige concurrerende klimaat baat bij om hun modellen goed te vermarkten. Hoewel Mythos dus volgens sommige experts niets bijzonders is, heeft Anthropic er wel voor gezorgd dat iedereen het erover heeft door te verkondigen dat hun AI-tool te gevaarlijk is om publiekelijk te verspreiden. Dit is overigens een trucje dat vaker wordt toegepast door AI-bedrijven, om hun marktwaarde op te krikken.

De Wet van Amara

Ik zou daarom vooral willen pleiten voor een stukje nuchterheid. Aan de ene kant is het mooi dat cybersecurity chefsache is geworden nu bestuurders zijn geschrokken door het Mythos-monster onder hun bed, waardoor ze meer investeren in hun cyberweerbaarheid. Aan de andere kant is technologische ontwikkeling notoir moeilijk te voorspellen. Vaak is er sprake van de zogeheten Wet van Amara, waarbij (mede door lobby van durfkapitalisten en marketingtrucs van bedrijven) de kortetermijnverwachtingen van nieuwe technologieën worden overschat, en de langetermijnverwachtingen worden onderschat. 

We weten simpelweg niet hoe (en of) een nieuwe technologie zijn pad in onze maatschappij vindt, en in hoeverre die daadwerkelijk gaat aansluiten bij onze gebruikerspraktijken. Wat vaak gebeurt is dat de opgeblazen voorspellingen niet uitkomen, maar dat over een langere periode gezien een technologie op invloedrijke wijze ingebed raakt. Zie big data en blockchain als sprekende voorbeelden hiervan. Ook is het mijn persoonlijke overtuiging dat ook in tijden van verregaande automatisering door AI cyberweerbaarheid altijd een wisselwerking tussen mens en machine zal zijn, waarbij we de rol van de mens niet over hoofd moeten zien. Om een simpel voorbeeld te noemen: als we onze IT-specialisten trainen om met AI-modellen kwetsbaarheden te vinden en die te patchen, kan zo’n model ook ten goede worden gebruikt. 

Goeddoordacht plan

Het lijkt mij daarom ook in het geval van AI-toepassingen in cybersecurity onverstandig om onze verwachtingen te laten leiden door bedrijven en individuen die er belang bij hebben dat onze verwachtingen hooggespannen zijn, zonder de potentiële risico’s te bagatelliseren. Zo kunnen we hopelijk voorkomen dat al het geld dat nu vanuit de bestuurskamers komt zonder goeddoordacht plan wordt gestoken in de verkeerde zakken, en investeren in maatregelen die ons echt cyberweerbaarder maken.