Det är texten som publiceras på Dagens Nyheters ledarsida. Redaktionens politiska ställning är oberoende och liberal.
Förra veckan sammankallade USA:s finansminister Scott Bessent och centralbankschefen Jerome Powell till ett krismöte med landets bankledare. Orsaken var inte Irankriget eller inflationen, utan en ny AI-modell som skulle kunna skaka om det finansiella systemet.
Anthropics senaste ”Claude Mythos Preview” är inte annorlunda, och upptäcker på egen hand tusentals allvarliga sårbarheter i ”alla större operativsystem och webbläsare”, inklusive brister som varit dolda i decennier. Den amerikanska regeringen har bedömt att riskerna för det finansiella systemet är allvarliga och kräver omedelbara anpassningar.
Mythos är inte en vanlig AI-modell. Den brittiska regeringens AI Security Institute (AISI) utvärderade systemet oberoende av varandra och fann att det överträffade alla tidigare modeller i cybersäkerhetstester. Genom att simulera en flerstegsattack på ett företagsnätverk (från initial spaning till fullständigt övertagande) lyckades Mythos på egen hand vad AISI uppskattar skulle ta en kompetent programmerare 20 timmar.
Som ett resultat av detta har svenska myndigheter, energibolag, teleoperatörer och banker inte haft någon chans att förbereda sig för vad som kan bli en av de största cybersårbarheterna på lång sikt.
Att kunna upptäcka sårbarheter utan mänsklig inblandning innebär inte bara att fler sårbarheter kan upptäckas, utan den avgörande förändringen är hastigheten. Från att hitta sårbarheter till att koordinera attacker, uppgifter som en gång tog veckor kan nu slutföras på timmar. Cloud Security Alliance (CSA) säger i en ny rapport att tidsramen mellan upptäckt av sårbarhet och utnyttjande har reducerats till noll. Nuvarande cyberförsvar är inte utformat på det sättet.
Anthropic har valt att inte visa modellen för allmänheten. Istället skapades Project Glasswing. Där kan utvalda spelare som AWS, Apple, Google, Microsoft, Nvidia och JPMorgan använda Mythos för att identifiera och åtgärda sårbarheter i sina system innan de kan utnyttjas.
Även om detta är positivt, pekar det på ett annat problem. Det betyder att amerikanska företag leder världen i att utveckla AI och vidta åtgärder för att hantera den.
Sverige har såvitt känt inte får tillgång till Mythos Preview. Som ett resultat av detta har svenska myndigheter, energibolag, teleoperatörer och banker inte haft någon chans att förbereda sig för vad som kan bli en av de största cybersårbarheterna på lång sikt.
Det finns dock undantag. Daniel Stenberg, svensken bakom Curl, programvaran som driver miljarder enheter, kommer att få tillgång till Project Glasswing. Stenberg har inte sett modellen ännu, men betonar att det här kan vara ett marknadsföringsknep för att väcka intresset för Anthropics produkter. Utvecklingen går i alla fall bara åt ena hållet. AI-modeller blir alltmer kapabla att hitta och utnyttja sårbarheter.
Berättelsen om Stenbergs engagemang är emblematisk för situationen i Sverige. Vi har ingen institutionell representation i Project Glasswing, men den kompetens som finns här gör att svenskar kan delta. Detta ger också vägledning om hur man går tillväga. Vi behöver inte bara möjliggöra de starka förmågor som finns i Sverige, utan också utnyttja dem för att passa AB Sveriges behov.
Medan kostnaden för att utnyttja sårbarheter minskar och funktionaliteten ökar, gör den ökade hastigheten hanteringen betydligt mer komplex.
Myndigheter och företag måste hantera hoten från nya och kraftfulla modeller. Det görs genom att skapa kompetenskluster bland personer som verkar utanför verksamheter och myndigheter, men också genom att stärka den egna kompetensen.
Den brittiska regeringens AISI är ett initiativ utformat för att göra just det. Organisationen får årligen cirka 700 miljoner kronor för att testa banbrytande AI-modeller innan de släpps och för att informera beslutsfattare om deras resultat. AI Det finns en tidig svensk likvärdig teknik inom Sverige som kallas ”Secure AI”, men dess ambition och resurser ligger inte i närheten av den.
Det vore vettigt att Nationellt Cybersäkerhetscentrum inom FRA ges mandat och resurser att bygga upp Sveriges kapacitet inom AI-driven sårbarhetsforskning. Myndigheter, företag och expertis bör sammanföras för att tillsammans testa och hitta motåtgärder för kritisk infrastruktur med hjälp av AI-verktyg. Detta beror på att de ibland förlitar sig på USA:s goodwill i utbyte mot att de skaffar sig sina egna förmågor.
AI-baserade attacker representerar en tektonisk förändring av attack- och försvarsmekanismer i cyberrymden. Medan kostnaden för att utnyttja sårbarheter minskar och funktionaliteten ökar, gör den ökade hastigheten hanteringen betydligt mer komplex. Inflytandet från motståndare som Ryssland och Kina sägs öka samtidigt som den organiserade brottsligheten och enskilda aktörer ställs inför helt nya möjligheter.
Mythos är inte den sista modellen i sitt slag. Men detta kan vara den första som gör avancerade, automatiserade cyberattacker allmänt tillgängliga. Det som kräver en kriskonferens i Washington i dag kommer snart att bli ett standardverktyg för statliga aktörer och organiserade brottsliga nätverk. Sverige måste agera innan fönstret stängs.
läs mer:
Oskar Jonsson: ”Ryssland tjänar 1,4 miljarder om dagen på Irankriget”
Oskar Jonsson: ”Förvänta dig inte att Putin ska vänta fem år innan han attackerar Nato”
