Mi történt
Ausztrália, az Egyesült Államok, az Egyesült Királyság, Új-Zéland és Kanada jelhírszerzési/kiberbiztonsági ügynökségei (a Five Eyes) ritka, közös nyilatkozatban figyelmeztettek: a legfejlettebb, úgynevezett „frontier” AI modellek várhatóan túllépik a mostani iparági várakozásokat, és alapjaiban alakítják át a támadó és védekező kiberképességeket. A kulcsmondat a tempó: nem évekről, hanem hónapokról beszélnek.A nyilatkozat üzenete kettős. Egyrészt az AI idővel javíthatja a védelmet (például gyorsabb hibakereséssel, riasztások priorizálásával), másrészt ugyanaz a technológia növeli a fenyegetések sebességét, léptékét és kifinomultságát. A szolgálatok szerint az AI csökkenti a belépési küszöböt a rosszindulatú szereplőknek, és felpörgeti az összetett támadások kivitelezését.
Ezzel párhuzamosan az amerikai kormány júniusban korlátozta az Anthropic egyik nagy figyelmet kapott modelljének, a Fable-nek a használatát „külföldi állampolgárok” számára nemzetbiztonsági megfontolásokra hivatkozva. A cég fejlettebb eszközei közé sorolták a Mythos-t is, amelyet csak ellenőrzött (vetted) szervezetek érhetnek el, mert képes sebezhetőségek azonosítására kiber rendszerekben.
Miért fontos
A generatív AI-t (gondolj rá úgy, mint egy rendkívül gyors „szöveg- és kódgyártó” asszisztensre) eddig sokan produktivitási eszközként kezelték. A kiberbiztonságban viszont ugyanaz a képesség kétélű: képes sebezhetőségeket felkutatni, segíthet a javításban, de a támadók oldalán „exploittá” is formálhatja az ötleteket. Az exploit lényegében egy konkrét módszer vagy kódrészlet, amivel egy hibát kihasználva be lehet jutni vagy kárt lehet okozni. Olivia Shen, a Sydney-i Egyetem egyik szakértője ezt úgy fogalmazta meg, hogy az újabb modellek kifejezetten jók lehetnek exploitok generálásában — vagyis a támadási lépések kidolgozásában.A Five Eyes üzenete ezért nem technikai részletkérdés: a kiberkockázatot üzleti kockázatként és vezetői felelősségként kezeli, amely hat a működés folytonosságára, a piaci bizalomra és a hosszú távú értékre.
Mire figyelj
- Hozzáférés és korlátozások: egyre több „szint” lehet a modellek elérésében (nyílt, regisztrált, ellenőrzött). Érdemes figyelni, hogy a szabályozás és a vállalati policy-k hogyan követik ezt.
- „Hónapok” mint tervezési horizont: a figyelmeztetés lényege, hogy a felkészülés nem éves programként, hanem gyors ütemű kockázatkezelésként értelmezendő (folyamatok, jogosultságok, incidenskezelés, beszállítói lánc).
- Szervezeti szintű válasz: nem elég egy új biztonsági eszköz. A nyilatkozat „whole-of-organisation, whole-of-society” megközelítést emleget — magyarul a vezetés, a jog, a beszerzés, az IT és az üzlet közös felelősségét.
A következő időszak kulcskérdése az lesz, hogy a védekezés gyorsulása valóban lépést tud-e tartani az AI által felpörgetett támadási ciklussal, és hogy a hozzáférés-szabályozás mennyire tud célzott maradni anélkül, hogy hamis biztonságérzetet keltene.
