Індія розпочала стрес-тестування своїх урядових та банківських програмних систем із використанням моделі Mythos AI від Anthropic — це кібербезпекові навчання, спрямовані на виявлення слабких місць до того, як це зроблять зловмисники. Тести, які зараз тривають, є першим відомим випадком, коли країна використовує передову модель ШІ конкурента для перевірки власної критичної інфраструктури.
Стрес-тестування проти ШІ-супротивника
Стрес-тестування не є новим. Організації регулярно імітують атаки, щоб побачити, як тримаються їхні захисти. Але додавання в цю суміш моделі ШІ, як-от Mythos, змінює рівняння. Mythos, розроблений компанією Anthropic, створений для кращого, ніж попередні моделі, розуміння та генерації коду. Це робить його потужним інструментом для імітації складних кібератак — і для пошуку вразливостей, які можуть пропустити люди-тестувальники.
Підхід Індії полягає в тому, щоб передати моделі деталі архітектури урядового та банківського програмного забезпечення. Потім Mythos намагається експлуатувати ці системи, вишукуючи слабкі місця в шифруванні, контролі доступу та обробці даних. Результати допомагають посадовцям визначити, які виправлення пріоритезувати та куди інвестувати в посилення захисту.
Чому основна увага — банківській та урядовій системам
Банківське та урядове програмне забезпечення обробляє одні з найчутливіших даних у країні — фінансові записи, персональну ідентифікацію та інформацію національної безпеки. Порушення в будь-якому з цих секторів може мати каскадні наслідки. Саме тому Індія зосереджує стрес-тести спочатку на цих двох сферах. Тести не є ознакою виявлення конкретної загрози, а радше проактивним заходом, щоб випередити потенційні атаки.
Вибір моделі Anthropic, а не інших, є примітним. Anthropic позиціонує себе як компанія, орієнтована на безпеку ШІ, а її модель Mythos має вбудовані запобіжні заходи для запобігання зловживанням. Використання Mythos Індією для оборонних цілей відповідає передбачуваним сферам застосування компанії. Anthropic не коментував тести, і жоден офіційний представник індійського уряду не надав подробиць про масштаб або строки.
Що поставлено на карту
Якщо стрес-тести виявлять критичні вразливості, наслідки можуть бути далекосяжними. Державним органам, можливо, доведеться призупинити цифрові ініціативи для виправлення систем. Банки можуть зіткнутися з тимчасовими перебоями в роботі, якщо потрібні оновлення. З іншого боку, здоровий висновок зміцнить довіру до цифрової інфраструктури Індії, яка швидко розширюється через програми, як-от Aadhaar та UPI.
Тести також порушують питання про роль ШІ в національній кібербезпеці. Використання моделі однієї компанії для тестування систем іншої розмиває межу між конкуренцією та співпрацею. Жодного рішення про оприлюднення результатів тестів не прийнято, і залишається незрозумілим, чи підуть інші країни за прикладом Індії.
Невирішені питання
Найбільше невідомо — як довго триватимуть стрес-тести і чи розширяться вони за межі урядового та банківського програмного забезпечення. Посадовці не розголосили кінцевий термін завершення, а також не повідомили, які конкретні системи тестуються. Зрозуміло одне: Індія робить ставку на те, що супротивник у вигляді ШІ — це найкращий спосіб виявити власні слабкі місця, перш ніж це зробить хтось інший.
