Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) se připojil do debaty ohledně nových modelů umělé inteligence a jejich dopadů na bezpečnost. Úřad vydal vlastní analýzu těchto modelů, čerpá hlavně z veřejných zdrojů a činnosti regulátora.
Modely jako Mythos od Anthropicu mají velké schopnosti nacházet bezpečnostní chyby v softwaru a IT systémech. To kromě jiného vedlo k omezením dostupnosti ze strany americké vlády. Obecně se dá říci, že se svět nyní učí, jak s těmito technologiemi nakládat, aby nezpůsobily velké škody.
“Tyto pokročilé AI systémy přinášejí výrazné zlepšení schopností v oblasti automatizovaného vyhledávání a ověřování zranitelností v softwaru. Oproti dosavadním nástrojům dokážou pracovat ve velkém měřítku a výrazně zrychlit celý proces od nalezení zranitelnosti až po její případné zneužití. Nové modely dokážou automatizovaně prohledávat kód v měřítku, které je pro lidské bezpečnostní týmy obtížně zvládnutelné, identifikovat chyby a současně vytvářet hypotézy o jejich potenciální zneužitelnosti,” uvedl NÚKIB.
“NÚKIB upozorňuje, že tento vývoj může v krátkodobém horizontu zvýhodnit útočníky, protože obranné procesy – zejména opravy zranitelností – zůstávají omezené dostupnými kapacitami,” konstatoval úřad.
NÚKIB došel k závěru, že modely mohou být prostředkem pro útoky i na české subjekty: “Nejpravděpodobnější scénář ovšem představují dopady kompromitací velkých firem poskytujících globální služby, které budou mít přímé dopady i na ČR skrz dodavatelský řetězec. Například může dojít k útokům na sdílenou digitální infrastrukturu bank, platebních systémů a poskytovatelů cloudových a softwarových služeb. Také lze očekávat navýšení počtu aktualizací, jak bude aktuální kód poprvé revidován novými AI modely a budou objevovány nové zranitelnosti ve vyšší kvantitě. To bude klást zvýšené nároky na aplikaci aktualizací.”
“Analýza zároveň konstatuje, že obdobné schopnosti budou velmi pravděpodobně v blízké době dostupné širšímu spektru subjektů, včetně státních i nestátních aktérů, což může vést k nárůstu kybernetických incidentů i nepřímo prostřednictvím narušení dodavatelských řetězců,” doplnil kyberúřad.
NÚKIB se v analýze nevěnuje tomu, že Evropa (potažmo Česko) nemá k dispozici vlastní takto výkonné a schopné modely a že se tím zvyšuje závislost na jiných mocnostech, s čímž se pojí další rizika.