L'India ha avviato test di stress sui propri sistemi software governativi e bancari utilizzando il modello Mythos AI di Anthropic, un'esercitazione informatica volta a individuare i punti deboli prima che lo facciano gli aggressori. I test, attualmente in corso, rappresentano il primo caso noto in cui un paese utilizza un modello AI all'avanguardia di un rivale per sondare le proprie infrastrutture critiche.
Test di resistenza contro un avversario AI
I test di resistenza non sono una novità. Le organizzazioni simulano regolarmente attacchi per verificare la tenuta delle proprie difese. Ma introdurre un modello AI come Mythos cambia le carte in tavola. Mythos, sviluppato da Anthropic, è progettato per essere più capace dei modelli precedenti nel comprendere e generare codice. Ciò lo rende uno strumento potente per simulare attacchi informatici sofisticati e per individuare vulnerabilità che i tester umani potrebbero trascurare.
L'approccio indiano prevede di fornire al modello dettagli sulle architetture software governative e bancarie. Mythos cerca quindi di sfruttare quei sistemi, sondando le debolezze nella crittografia, nei controlli di accesso e nella gestione dei dati. I risultati aiutano i funzionari a decidere quali patch dare priorità e dove investire in difese più robuste.
Perché l'attenzione è su sistemi bancari e governativi
I software bancari e governativi gestiscono alcuni dei dati più sensibili del paese: registri finanziari, identificazione personale e informazioni sulla sicurezza nazionale. Una violazione in uno di questi settori potrebbe avere effetti a cascata. Ecco perché l'India concentra i suoi test di resistenza su questi due settori per primi. I test non indicano che sia stata rilevata una minaccia specifica, ma sono piuttosto una misura proattiva per stare al passo con potenziali attacchi.
La scelta del modello di Anthropic rispetto ad altri è degna di nota. Anthropic si è posizionata come azienda AI focalizzata sulla sicurezza, e il suo modello Mythos è costruito con salvaguardie per prevenirne l'uso improprio. L'utilizzo di Mythos da parte dell'India a fini difensivi è in linea con le applicazioni previste dall'azienda. Anthropic non ha commentato i test e nessun funzionario del governo indiano ha fornito dettagli sulla portata o sulla tempistica.
Cosa è in gioco
Se i test di resistenza rivelano vulnerabilità critiche, le conseguenze potrebbero essere di vasta portata. Le agenzie governative potrebbero dover sospendere iniziative digitali per aggiornare i sistemi. Le banche potrebbero subire interruzioni temporanee dei servizi se sono necessari aggiornamenti. D'altro canto, un certificato di buona salute rafforzerebbe la fiducia nell'infrastruttura digitale indiana, che si è espansa rapidamente attraverso programmi come Aadhaar e UPI.
I test sollevano anche interrogativi sul ruolo dell'AI nella cybersecurity nazionale. Utilizzare il modello di un'azienda per testare i sistemi di un'altra offusca il confine tra concorrenza e collaborazione. Non è stata presa alcuna decisione sulla pubblicazione dei risultati dei test, e resta incerto se altre nazioni seguiranno l'esempio dell'India.
Domande senza risposta
La più grande incognita è quanto dureranno i test di resistenza e se si estenderanno oltre i software governativi e bancari. I funzionari non hanno comunicato una scadenza per il completamento, né hanno detto quali sistemi specifici sono in fase di test. Quello che è chiaro è che l'India scommette che un avversario AI sia il modo migliore per trovare le proprie debolezze, prima che lo faccia qualcun altro.
