Uued ja võimekamad tehisintellekti mudelid on muutunud igapäevaseks: olgu selleks ChatGPT, Claude’i või Gemini uusim versioon – ikka lubatakse meile uusi funktsioone, mida kasutajad saaksid kohe proovile panna. Seekord on aga kõik teisiti.
Tehisintellekti arendaja Anthropic teatas suure käraga uuest mudelist nimega Mythos, kuid tavakasutajatel sellele ligipääsu pole. Selle asemel on ettevõte käivitanud algatuse nimega Project Glasswing, et rakendada mudeli võimekust "hea, mitte kurja teenistusse". New York Times nimetab mudeli võimekust "hirmutavaks ohumärgiks".
Miks on Anthropic nii ettevaatlik? Varajased raportid viitavad, et Mythos suutis suuniste andmisel väljuda suletud testimiskeskkonnast ehk nn liivakastist (sandbox) ja saata selle uurijale e-kirja.
See on ehk vaid veidi murettekitav. Kuid olulisem on Anthropicu väide, et Mythos on tuvastanud tarkvaralisi haavatavusi ja vigu „kõikides suuremates operatsioonisüsteemides ja veebibrauserites“.
Peidetud haavatavuste leidmine
Ühe märkimisväärse näitena leidis mudel vea turvalisusele orienteeritud operatsioonisüsteemis OpenBSD, mida kasutatakse laialdaselt tulemüürides ja ruuterites. See viga oli jäänud märkamatuks tervelt 27 aastat. Anthropicu sõnul avastas Mythos ka 16 aastat vana haavatavuse FFmpeg-s – see on vähetuntud, kuid kriitiline tarkvarakomponent, mis aitab arvutitel ja rakendustel hallata audio- ja videofaile.
Lisaks teatati, et Mythos leidis mitu haavatavust Linuxi tuumas (kernel) ning suutis need aheldada viisil, mis andis ründajale täieliku kontrolli seadme üle.
Anthropicu sisekontroll (mis ei ole veel sõltumatut kinnitust leidnud) näitas, et Mythos on varasematest mudelitest oluliselt edukam tarkvaravigade muutmisel toimivateks rünnakukoodideks (exploits). Ettevõtte hinnangul on mudelil suur tehniline potentsiaal, kuid see nõuab äärmist valvsust. Raport järeldab, et kuigi mudel ei kipu iseseisvalt "mässama", võib see inimese juhiste järgi korda saata suurt kahju.
Miks Anthropic Mythost luku taga hoiab?
Anthropic otsustas mudelit mitte avalikustada just selle ohtliku võimekuse tõttu. Selle asemel kutsuti ellu Project Glasswing.
See algatus koondab laia koalitsiooni tehnoloogiagigante (Microsoft, Amazon, Google, Apple, Cisco, NVIDIA), avatud lähtekoodiga organisatsioone (Linux Foundation) ja finantsmaailma suurtegijaid (JPMorgan Chase). Eesmärk on suunata Mythose võimekus küberkaitsesse, mitte kuritarvitustesse.
Idee on lihtne: anda kaitsjatele edumaa kriitilise tarkvara nõrkuste leidmiseks ja parandamiseks enne, kui sarnased AI-võimekused muutuvad ründajatele laialdaselt kättesaadavaks.
Lugedes ridade vahelt
See ei ole esimene kord, kui AI-ettevõte leiab, et mudel on avalikustamiseks liiga võimas. 2019. aastal, ammu enne ChatGPT-ajastut, tegi OpenAI midagi sarnast mudeliga GPT-2 (toona oli Anthropicu praegune juht Dario Amodei üks OpenAI juhtivteadlasi).
Anthropicu teadaannetesse tasub aga suhtuda tõsiselt. Ettevõte on avaldanud ebaharilikult üksikasjalikku materjali mudeli kohta, mida nad isegi ei lase välja. Raportite kohaselt kutsusid USA ametivõimud Washingtoni kokku suurpankade juhid, et arutada Mythosega seotud küberriske.
Samas peab säilitama kriitilise meele, sest välised osapooled ei saa Anthropicu väiteid veel kontrollida. Ettevõte väidab, et üle 99% leitud haavatavustest on alles avalikustamata, kuna neile pole veel turvapaiku loodud. See on vastutustundlik käitumine, kuid see tähendab ka, et avalikkus peab Anthropicut pimesi usaldama.
Mida Mythos küberjulgeoleku tuleviku jaoks tähendab?
Küberturvalisuse ebaõnnestumistel on reaalsed tagajärjed. Austraalias paljastas Optuse andmeleke 9,5 miljoni inimese isikuandmed. Medibanki juhtumi puhul lekkisid tundlikud terviseandmed isegi dark web'i. Need ei olnud lihtsalt andmebaasi probleemid, vaid privaatsuse ja usalduse kriisid.
Just seepärast on Mythos oluline. See võib muuta küberturvalisuse majanduslikku loogikat.
Minevikus jäid tõsised haavatavused sageli peitu vaid seetõttu, et keegi ei leidnud neid üles – see nõudis haruldasi oskusi, kannatlikkust ja aega. Kui aga Mythose-sarnased mudelid suudavad skaneerida interneti "nähtamatut torustikku" (operatsioonisüsteeme, brausereid, ruutereid) enneolematus mahus, võib seni spetsiifilisi teadmisi nõudnud häkkimine muutuda rutiinseks ja automatiseeritud protsessiks.
Ettevõtete jaoks on Mythos kahe teraga mõõk: see aitab kiirelt leida vead oma koodis, kuid tekitab hirmu, et ründajad võivad nendeni jõuda esimesena. See ei puuduta ainult tech-ettevõtteid, vaid kõiki teenuseid, millest me sõltume – elektrist ja veest kuni lennuliikluse, panganduse ja haiglateni.
Mis saab edasi?
Seni on küberturvafirmad olnud Mythose teemal avalikult märkimisväärselt vaiksed. Paljud näivad ootavat ja vaatavat, soovimata paljastada oma seisukohta juhuks, kui mudel peaks leidma nõrkusi just nende süsteemides.
Kuid arengud nagu Mythos on põhjus lõpetada suhtumine küberturvalisusse kui "keegi teise probleemi". Tavakasutaja jaoks on vastus lihtne: baas-küberhügieen on olulisem kui kunagi varem.
Uuendage oma telefone, sülearvuteid, brausereid ja ruutereid. Vahetage välja seadmed, mida tootja enam ei toeta. Kasutage paroolihaldurit ja lülitage sisse mitmetasemeline autentimine (MFA). Ärge ignoreerige turvapaikade teavitusi.
Need on esimesed sammud. Nende taga peituvad aga keerulisemad küsimused: kellel peaks olema ligipääs võimsatele AI-mudelitele, kes teostab järelevalvet ja kes otsustab, millised on need "õiged käed", kuhu selline tehnoloogia usaldada?
Autorid:
Stan Karanasios
Infosüsteemide professor, Queenslandi Ülikool
Saeed Akhlaghpour
Äriinfosüsteemide dotsent, Queenslandi Ülikool
Artikkel on algselt avaldatud väljaandes The Conversation ja taasavaldatud Creative Commonsi alusel.
