Indie rozpoczęły testy wytrzymałościowe swoich systemów oprogramowania rządowego i bankowego wobec modelu AI Mythos od Anthropic – ćwiczenia cyberbezpieczeństwa mające na celu znalezienie słabych punktów, zanim zrobią to atakujący. Obecnie trwające testy są pierwszym znanym przypadkiem, w którym kraj używa najnowocześniejszego modelu AI konkurencyjnej firmy do badania własnej infrastruktury krytycznej.
Testy wytrzymałościowe przeciwko przeciwnikowi AI
Testy wytrzymałościowe nie są nowością. Organizacje regularnie symulują ataki, aby sprawdzić, jak radzą sobie ich zabezpieczenia. Jednak dodanie do tego modelu AI, takiego jak Mythos, zmienia sytuację. Mythos, opracowany przez Anthropic, został zaprojektowany tak, aby był bardziej wydajny niż wcześniejsze modele w rozumieniu i generowaniu kodu. Czyni go to potężnym narzędziem do symulowania zaawansowanych cyberataków – oraz do znajdowania luk, które mogą przeoczyć ludzcy testerzy.
Podejście Indii polega na dostarczeniu modelowi szczegółów dotyczących architektury oprogramowania rządowego i bankowego. Mythos następnie próbuje wykorzystać te systemy, badając słabości w szyfrowaniu, kontroli dostępu i przetwarzaniu danych. Wyniki pomagają urzędnikom zdecydować, które łatki priorytetyzować i gdzie inwestować w silniejsze zabezpieczenia.
Dlaczego skupiono się na systemach bankowych i rządowych
Oprogramowanie bankowe i rządowe obsługuje jedne z najbardziej wrażliwych danych w kraju – dane finansowe, dane osobowe i informacje dotyczące bezpieczeństwa narodowego. Naruszenie w którymkolwiek z tych sektorów może mieć kaskadowe skutki. Dlatego Indie najpierw koncentrują swoje testy wytrzymałościowe na tych dwóch obszarach. Testy nie są oznaką wykrycia konkretnego zagrożenia, ale raczej działaniem proaktywnym, aby wyprzedzić potencjalne ataki.
Wybór modelu Anthropic zamiast innych jest znaczący. Anthropic pozycjonuje się jako firma AI skoncentrowana na bezpieczeństwie, a jej model Mythos został zbudowany z zabezpieczeniami zapobiegającymi nadużyciom. Wykorzystanie Mythos przez Indie w celach obronnych jest zgodne z przeznaczeniem firmy. Anthropic nie skomentował testów, a żaden urzędnik indyjskiego rządu nie podał szczegółów dotyczących zakresu ani harmonogramu.
Co jest stawką
Jeśli testy wytrzymałościowe ujawnią krytyczne luki, konsekwencje mogą być dalekosiężne. Agencje rządowe mogą potrzebować wstrzymać inicjatywy cyfrowe, aby załatać systemy. Banki mogą stanąć w obliczu tymczasowych przerw w działaniu, jeśli konieczne będą aktualizacje. Z drugiej strony, pozytywny wynik wzmocniłby zaufanie do indyjskiej infrastruktury cyfrowej, która szybko się rozwija dzięki programom takim jak Aadhaar i UPI.
Testy rodzą również pytania o rolę AI w cyberbezpieczeństwie narodowym. Użycie modelu jednej firmy do testowania systemów innej zaciera granicę między konkurencją a współpracą. Nie podjęto jeszcze decyzji, czy wyniki testów zostaną upublicznione, i nie wiadomo, czy inne kraje pójdą śladem Indii.
Nierozwiązane pytania
Największą niewiadomą jest to, jak długo potrwają testy wytrzymałościowe i czy rozszerzą się one poza oprogramowanie rządowe i bankowe. Urzędnicy nie ujawnili terminu zakończenia ani nie podali, które konkretne systemy są testowane. Jasne jest natomiast, że Indie stawiają na to, iż przeciwnik AI jest najlepszym sposobem na znalezienie własnych słabości – zanim zrobi to ktoś inny.
