บริติช เทเลคอม (British Telecom) ได้เข้าร่วมโครงการ Project Glasswing ของแอนโทรปิก (Anthropic) ซึ่งเป็นความพยายามใช้ปัญญาประดิษฐ์เพื่อค้นหาช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์ก่อนที่ผู้ไม่ประสงค์ดีจะนำไปโจมตี การเคลื่อนไหวนี้ทำให้ผู้ให้บริการโทรคมนาคมรายใหญ่ของสหราชอาณาจักรรายหนึ่งเข้าร่วมโครงการที่มุ่งเป้าไปที่การสแกนหาช่องโหว่ด้วยระบบอัตโนมัติผ่านโมเดลภาษาขนาดใหญ่
เป้าหมายของ Project Glasswing
Project Glasswing คือความพยายามของแอนโทรปิกในการปรับเปลี่ยนโมเดล generative AI ของตนให้เป็นผู้ตรวจสอบโค้ด แทนที่จะเพียงแค่เขียนหรือสรุปโค้ด AI จะได้รับการฝึกให้ตรวจจับช่องโหว่ทั่วไป เช่น buffer overflow, จุดที่สามารถฉีด SQL และข้อบกพร่องด้านการตรวจสอบสิทธิ์ โดยการเข้าร่วมโครงการ บีทีจะสามารถเข้าถึงเครื่องมือสแกนเหล่านั้นได้ก่อนใคร และคาดว่าจะส่งข้อมูลการค้นพบกลับไปเพื่อปรับปรุงโมเดล
สำหรับยักษ์ใหญ่ด้านโทรคมนาคมที่ดำเนินเครือข่ายครอบคลุมลูกค้าและธุรกิจหลายล้านราย การสแกนแบบอัตโนมัติย่อมมีข้อดีที่ชัดเจน การตรวจสอบโค้ดด้วยมนุษย์นั้นช้าและมีค่าใช้จ่ายสูง ซัพพลายเชนซอฟต์แวร์ในปัจจุบันประกอบด้วยส่วนประกอบโอเพนซอร์สหลายพันชิ้น แต่ละชิ้นเป็นช่องทางที่อาจเกิดการละเมิดได้ หาก AI สามารถสแกนฐานโค้ดได้ภายในไม่กี่นาทีแทนที่จะเป็นหลายสัปดาห์ เวลาระหว่างการเกิดช่องโหว่และการเขียนแพตช์ก็จะลดลงอย่างมาก
เหตุใดบีทีจึงเหมาะสมโดยธรรมชาติ
หน่วยงานด้านความปลอดภัยไซเบอร์ของบีทีให้ความสำคัญกับการปกป้องโครงสร้างพื้นฐานที่สำคัญของประเทศมาอย่างยาวนาน บริษัทดำเนินเครือข่ายส่วนตัวที่ใหญ่ที่สุดแห่งหนึ่งในสหราชอาณาจักร และจัดการข้อมูลให้กับหน่วยงานรัฐบาล ธนาคาร และผู้ให้บริการด้านสุขภาพ การละเมิดในระบบของบีทีจะไม่เพียงส่งผลต่อค่าโทรศัพท์เท่านั้น แต่อาจขัดขวางบริการฉุกเฉินหรือธุรกรรมทางการเงิน
แอนโทรปิก ซึ่งเป็นห้องปฏิบัติการ AI ในซานฟรานซิสโกที่อยู่เบื้องหลังโมเดลตระกูล Claude ได้ให้ความปลอดภัยเป็นส่วนสำคัญของแบรนด์ Project Glasswing เป็นส่วนหนึ่งของภารกิจนั้น — การสร้างระบบ AI ที่สามารถปกป้องระบบอื่น การให้ผู้ให้บริการโทรคมนาคมอย่างบีทีเข้ามามีส่วนร่วมช่วยให้แอนโทรปิกได้รับข้อมูลการใช้งานจริงและการทดสอบความเครียดที่สภาพแวดล้อมในห้องปฏิบัติการแบบแยกส่วนไม่สามารถให้ได้
ยังไม่มีรายละเอียดเกี่ยวกับการเปิดตัว
ทั้งบีทีและแอนโทรปิกยังไม่ได้เปิดเผยระยะเวลา เงื่อนไขทางการเงิน หรือความลึกซึ้งของเครื่องมือสแกนที่จะถูกรวมเข้ากับไปป์ไลน์ความปลอดภัยที่มีอยู่ของบีที ยังไม่ชัดเจนว่าการสแกนด้วย AI จะถูกนำเสนอเป็นบริการให้แก่ลูกค้าองค์กรของบีทีหรือจะถูกเก็บไว้ใช้ภายใน
สิ่งที่ทราบคือ: บีทีจะเข้าร่วมในขั้นตอนการวิจัยของโครงการ โดยร่วมให้ข้อมูลชุดช่องโหว่และกรณีการใช้งาน ซึ่งอาจช่วยให้แอนโทรปิกปรับปรุงโมเดลของตนด้วยโค้ดประเภทที่ทำงานจริงในเครือข่ายโทรคมนาคมขนาดใหญ่ — โค้ดที่ผสมผสานระบบเก่า ซอฟต์แวร์จากบุคคลที่สาม และโครงสร้างพื้นฐานที่สร้างขึ้นเอง
คำถามด้านกฎระเบียบและความไว้วางใจ
การใช้ AI ในการสแกนโค้ดทำให้เกิดความเสี่ยงในตัวของมันเอง หากโมเดลแจ้งเตือนเป็นเท็จ วิศวกรก็จะเสียเวลาไล่ตามเงา หากมันพลาดช่องโหว่จริง ระบบก็จะสร้างความเชื่อมั่นที่ผิดพลาด หน่วยงานกำกับดูแลในสหราชอาณาจักรและยุโรปกำลังจับตาดูว่ามีการนำ AI ไปใช้ในภาคส่วนที่สำคัญอย่างไร และเหตุการณ์ใดๆ ที่เกี่ยวข้องกับเครือข่ายของบีทีย่อมดึงดูดการตรวจสอบ
บีทียังไม่ได้ระบุว่าการสแกนด้วย AI จะได้รับการตรวจสอบโดยบุคคลที่สามที่เป็นอิสระหรือไม่ หรือบีทีวางแผนจัดการกับผลกระทบด้านความเป็นส่วนตัวจากการอัปโหลดโค้ดที่เป็นกรรมสิทธิ์ไปยังระบบคลาวด์ของแอนโทรปิกอย่างไร คำถามเหล่านี้ยังคงเปิดกว้างในขณะที่ความร่วมมือเริ่มต้นขึ้น
