British Telecom podpisał umowę dotyczącą udziału w projekcie Glasswing firmy Anthropic, którego celem jest wykorzystanie sztucznej inteligencji do wykrywania luk w zabezpieczeniach oprogramowania, zanim zostaną one wykorzystane przez atakujących. Posunięcie to wprowadza jednego z największych brytyjskich dostawców telekomunikacyjnych do programu, który ma na celu zautomatyzowanie skanowania podatności za pomocą dużych modeli językowych.
Cel projektu Glasswing
Projekt Glasswing to wysiłek Anthropic mający na celu przekształcenie ich generatywnych modeli AI w audytorów kodu. Zamiast tylko pisać lub podsumowywać kod, AI jest szkolona w wykrywaniu typowych podatności, takich jak przepełnienia bufora, punkty wstrzyknięcia SQL i błędy uwierzytelniania. Dołączając do projektu, BT uzyskuje wczesny dostęp do tych narzędzi skanujących i, jak można przypuszczać, przekazuje spostrzeżenia w celu ulepszenia modeli.
Dla giganta telekomunikacyjnego, który zarządza sieciami obejmującymi miliony klientów i firm, zautomatyzowane skanowanie ma oczywiste zalety. Ręczne przeglądy kodu są powolne i kosztowne. Łańcuchy dostaw oprogramowania obejmują teraz tysiące komponentów open source, a każdy z nich stanowi potencjalny punkt wejścia dla naruszenia. Jeśli AI może przeskanować bazę kodu w kilka minut zamiast tygodni, czas między wprowadzeniem podatności a napisaniem łatki może się drastycznie skrócić.
Dlaczego BT jest naturalnym partnerem
Dział cyberbezpieczeństwa BT od dawna koncentruje się na ochronie krytycznej infrastruktury narodowej. Firma zarządza jedną z największych prywatnych sieci w Wielkiej Brytanii i przetwarza dane dla agencji rządowych, banków i dostawców opieki zdrowotnej. Naruszenie w jej systemie nie wpłynęłoby tylko na rachunki telefoniczne; mogłoby zakłócić działanie służb ratunkowych lub transakcji finansowych.
Anthropic, laboratorium AI z siedzibą w San Francisco, stojące za rodziną modeli Claude, uczyniło bezpieczeństwo kluczowym elementem swojej marki. Projekt Glasswing jest częścią tej misji – budowanie systemów AI, które mogą bronić inne systemy. Zaangażowanie operatora telekomunikacyjnego takiego jak BT daje Anthropic dane z rzeczywistego wdrożenia i testy obciążeniowe, których izolowane środowiska laboratoryjne nie są w stanie zapewnić.
Brak szczegółów dotyczących wdrożenia
Ani BT, ani Anthropic nie ujawniły harmonogramów, warunków finansowych ani stopnia integracji narzędzi skanujących z istniejącym potokiem bezpieczeństwa BT. Nie wiadomo również, czy skanowanie AI będzie oferowane jako usługa dla klientów korporacyjnych BT, czy pozostanie wewnętrzne.
Wiadomo, że BT weźmie udział w fazie badawczej projektu, dostarczając zestawy danych o podatnościach i przypadki użycia. Może to pomóc Anthropic w ulepszaniu swoich modeli na podstawie kodu, który faktycznie działa w dużych sieciach telekomunikacyjnych – kodu łączącego systemy dziedziczone, oprogramowanie firm trzecich i niestandardową infrastrukturę.
Kwestie regulacyjne i zaufania
Używanie AI do skanowania kodu niesie ze sobą własne ryzyko. Jeśli model zgłosi fałszywie pozytywny wynik, inżynierowie gonią widmo. Jeśli nie wykryje rzeczywistej podatności, system staje się fałszywym poczuciem bezpieczeństwa. Regulatorzy w Wielkiej Brytanii i Europie obserwują, jak AI jest wdrażane w sektorach krytycznych, a każdy incydent dotyczący sieci BT przyciągnąłby uwagę.
BT nie poinformowało, czy skanowanie AI będzie audytowane przez niezależną stronę trzecią ani jak zamierza radzić sobie z konsekwencjami prywatności wynikającymi z przesyłania zastrzeżonego kodu do chmury Anthropic. Te pytania pozostają otwarte wraz z rozpoczęciem partnerstwa.
