Ấn Độ đã bắt đầu kiểm tra sức chịu đựng của các hệ thống phần mềm chính phủ và ngân hàng trước mô hình AI Mythos của Anthropic, một cuộc diễn tập an ninh mạng nhằm tìm ra điểm yếu trước khi kẻ tấn công khai thác. Các cuộc thử nghiệm đang được tiến hành đánh dấu lần đầu tiên một quốc gia sử dụng mô hình AI tiên tiến của đối thủ để thăm dò cơ sở hạ tầng quan trọng của chính mình.
Kiểm tra sức chịu đựng trước một đối thủ AI
Kiểm tra sức chịu đựng không phải là mới. Các tổ chức thường xuyên mô phỏng các cuộc tấn công để xem khả năng phòng thủ của họ ra sao. Nhưng đưa một mô hình AI như Mythos vào cuộc chơi sẽ thay đổi cục diện. Mythos, do Anthropic phát triển, được thiết kế có khả năng hiểu và tạo mã tốt hơn các mô hình trước đây. Điều này khiến nó trở thành công cụ mạnh mẽ để mô phỏng các cuộc tấn công mạng tinh vi—và để tìm ra các lỗ hổng mà người thử nghiệm có thể bỏ sót.
Cách tiếp cận của Ấn Độ là cung cấp cho mô hình thông tin chi tiết về kiến trúc phần mềm chính phủ và ngân hàng của họ. Mythos sau đó cố gắng khai thác các hệ thống đó, thăm dò điểm yếu trong mã hóa, kiểm soát truy cập và xử lý dữ liệu. Kết quả giúp các quan chức quyết định ưu tiên vá lỗi nào và đầu tư vào biện pháp phòng thủ mạnh hơn ở đâu.
Tại sao lại tập trung vào hệ thống ngân hàng và chính phủ
Phần mềm ngân hàng và chính phủ xử lý một số dữ liệu nhạy cảm nhất trong nước—hồ sơ tài chính, thông tin nhận dạng cá nhân và thông tin an ninh quốc gia. Một vụ vi phạm ở một trong hai lĩnh vực này có thể gây ra hiệu ứng dây chuyền. Đó là lý do Ấn Độ tập trung các bài kiểm tra sức chịu đựng vào hai lĩnh vực này trước tiên. Các cuộc thử nghiệm không phải là dấu hiệu cho thấy một mối đe dọa cụ thể đã được phát hiện, mà là một biện pháp chủ động để đi trước các cuộc tấn công tiềm năng.
Việc chọn mô hình của Anthropic thay vì các mô hình khác là đáng chú ý. Anthropic đã định vị mình là một công ty AI tập trung vào an toàn, và mô hình Mythos của họ được xây dựng với các rào cản để ngăn chặn lạm dụng. Việc Ấn Độ sử dụng Mythos cho mục đích phòng thủ phù hợp với ứng dụng dự kiến của công ty. Anthropic chưa bình luận về các cuộc thử nghiệm, và không có quan chức nào từ chính phủ Ấn Độ cung cấp thông tin chi tiết về phạm vi hoặc thời gian.
Những gì đang bị đe dọa
Nếu các bài kiểm tra sức chịu đựng tiết lộ các lỗ hổng nghiêm trọng, hậu quả có thể sâu rộng. Các cơ quan chính phủ có thể phải tạm dừng các sáng kiến kỹ thuật số để vá lỗi hệ thống. Các ngân hàng có thể đối mặt với gián đoạn dịch vụ tạm thời nếu cần cập nhật. Mặt khác, một kết quả tốt sẽ củng cố niềm tin vào cơ sở hạ tầng kỹ thuật số của Ấn Độ, vốn đang mở rộng nhanh chóng thông qua các chương trình như Aadhaar và UPI.
Các cuộc thử nghiệm cũng đặt ra câu hỏi về vai trò của AI trong an ninh mạng quốc gia. Việc sử dụng mô hình của một công ty để kiểm tra hệ thống của công ty khác làm mờ ranh giới giữa cạnh tranh và hợp tác. Chưa có quyết định nào về việc có công bố kết quả thử nghiệm hay không, và vẫn chưa rõ liệu các quốc gia khác có làm theo bước đi của Ấn Độ hay không.
Các câu hỏi chưa được giải đáp
Điều chưa biết lớn nhất là các cuộc kiểm tra sức chịu đựng sẽ kéo dài bao lâu và liệu chúng có mở rộng ra ngoài phần mềm chính phủ và ngân hàng hay không. Các quan chức chưa tiết lộ thời hạn hoàn thành, cũng như chưa cho biết hệ thống cụ thể nào đang được kiểm tra. Điều rõ ràng là Ấn Độ đang đặt cược rằng một đối thủ AI là cách tốt nhất để tìm ra điểm yếu của chính mình—trước khi người khác làm điều đó.
