Společnost British Telecom se připojila k projektu Glasswing společnosti Anthropic, jehož cílem je využívat umělou inteligenci k odhalování bezpečnostních děr v software dříve, než je mohou útočníci zneužít. Tento krok přivádí jednoho z největších britských poskytovatelů telekomunikačních služeb do programu, který usiluje o automatizaci skenování zranitelností pomocí velkých jazykových modelů.
Co je cílem projektu Glasswing
Projekt Glasswing je snahou společnosti Anthropic proměnit její generativní modely AI na auditory kódu. Místo pouhého psaní nebo sumarizace kódu je AI trénována k rozpoznávání běžných zranitelností, jako jsou přetečení bufferu, místa pro SQL injekci a chyby v autentizaci. Díky zapojení do projektu získává BT přednostní přístup k těmto skenovacím nástrojům a pravděpodobně poskytuje zpětnou vazbu k vylepšení modelů.
Pro telekomunikačního giganta, který provozuje sítě zahrnující miliony zákazníků a firem, je automatizované skenování zjevně přitažlivé. Ruční kontroly kódu jsou pomalé a drahé. Softwarové dodavatelské řetězce dnes obsahují tisíce open-source komponent, z nichž každá může být potenciálním vstupním bodem pro narušení. Pokud je AI schopna proskenovat kódovou základnu během minut místo týdnů, může se doba mezi zavedením zranitelnosti a napsáním záplaty výrazně zkrátit.
Proč je BT přirozenou volbou
Kybernetické bezpečnostní oddělení BT se dlouhodobě zaměřuje na ochranu kritické národní infrastruktury. Společnost provozuje jednu z největších soukromých sítí ve Spojeném království a zpracovává data pro vládní agentury, banky a poskytovatele zdravotní péče. Narušení jejího systému by neovlivnilo jen telefonní účty; mohlo by narušit nouzové služby nebo finanční transakce.
Společnost Anthropic, laboratoř AI se sídlem v San Franciscu, která stojí za rodinou modelů Claude, učinila bezpečnost ústředním prvkem své značky. Projekt Glasswing je součástí této mise – budovat systémy AI, které dokážou bránit jiné systémy. Zapojení telekomunikačního operátora, jako je BT, poskytuje Anthropic reálná data z nasazení a zátěžové testy, které izolovaná laboratorní prostředí nemohou nabídnout.
Podrobnosti o nasazení zatím nejsou známy
Ani BT ani Anthropic nezveřejnily časové harmonogramy, finanční podmínky ani to, jak hluboce budou skenovací nástroje integrovány do stávajícího bezpečnostního pipeline BT. Není také jasné, zda bude AI skenování nabízeno jako služba firemním klientům BT, nebo zůstane interní.
Co je známo: BT se zúčastní výzkumné fáze projektu, kde poskytne datové sady zranitelností a případy použití. To by mohlo pomoci Anthropic vylepšit své modely na kódu, který skutečně běží ve velkých telekomunikačních sítích – kódu, který kombinuje starší systémy, software třetích stran a vlastní infrastrukturu.
Otázky regulace a důvěry
Použití AI ke skenování kódu s sebou nese vlastní rizika. Pokud model označí falešně pozitivní výsledek, inženýři honí přízrak. Pokud přehlédne skutečnou zranitelnost, systém vytváří falešný pocit bezpečí. Regulátoři ve Spojeném království a Evropě sledují, jak je AI nasazována v kritických odvětvích, a jakýkoli incident týkající se sítě BT by přitáhl pozornost.
BT neuvedla, zda bude AI skenování auditováno nezávislou třetí stranou ani jak plánuje řešit důsledky pro soukromí při nahrávání proprietárního kódu do cloudu Anthropic. Tyto otázky zůstávají otevřené v době, kdy partnerství začíná.
