JAV bendrovė „Anthropic“ paskelbė ribojanti naujo pažangaus dirbtinio intelekto modelio „Mythos“ platinimą, o tai sukėlė įtampą Europos kibernetinio saugumo bendruomenėje. Modelis, pasak kūrėjų, gali itin tiksliai rasti ir išnaudoti programinės įrangos spragas, todėl laikomas ir galingu gynybos įrankiu, ir potencialiu ginklu.
„Anthropic“ teigimu, „Mythos“ prieiga laikinai suteikta tik kelioms dešimtims technologijų partnerių, kad šie spėtų sustiprinti sistemas ir užlopyti pažeidžiamumus. Artimiausiame rate įvardytos 12 įmonių, visos registruotos JAV, tarp jų „Apple“, „Microsoft“ ir „Amazon“, o dar apie 40 organizacijų nebuvo įvardytos.
Europos institucijoms toks modelio platinimo būdas reiškia ribotą galimybę nepriklausomai įvertinti rizikas. Su žurnalistais bendravę kelių Europos valstybių kibernetinio saugumo institucijų atstovai nurodė, kad prieiga, jei apskritai buvo, buvo fragmentiška, o techninių detalių trūkumas apsunkina realaus poveikio vertinimą.
Vokietijos federalinės informacijos saugumo tarnybos BSI vadovė Claudia Plattner atkreipė dėmesį, kad esminis klausimas yra, ar tokio pajėgumo priemonės ateityje gali atsidurti atviroje rinkoje. Pasak jos, tai turėtų tiesioginių pasekmių nacionaliniam ir Europos saugumui bei technologiniam suverenitetui.
BSI teigia palaikanti aktyvų dialogą su „Anthropic“, nors pats įrankis dar nebuvo tiesiogiai išbandytas. Tuo metu ES kibernetinio saugumo agentūra ENISA viešai nepatvirtino, ar yra kontaktavusi su bendrove dėl „Mythos“.
Situacija ypač kontrastuoja su Jungtine Karalyste, kur AI Security Institute patvirtino jau atlikęs „Mythos“ testavimą ir paskelbęs vertinimą. Tai sustiprino diskusiją, kad Europoje trūksta praktinių mechanizmų, leidžiančių greitai ir sistemingai gauti prieigą prie vadinamųjų pasienio DI modelių, kai jų pajėgumai pradeda kelti naujo masto grėsmes.
Ekspertai pabrėžia, kad technologijų įmonėms paliekant sprendimą, kas ir kada gali testuoti tokio jautrumo modelius, valstybės institucijos dažnai atsiduria pasyvios stebėtojos vaidmenyje. Monrealio universiteto profesorius Yoshua Bengio viešai yra sakęs, kad kelia nerimą situacija, kai sprendimai dėl rizikos valdymo praktiškai priklauso nuo privačių bendrovių, o visuomenės interesų apsaugai būtini nepriklausomi patikrinimai.
Europos Komisijos AI biuras palaiko dialogą su „Anthropic“ pagal savanoriškas gaires, padedančias laikytis ES DI akto reikalavimų, tačiau nebuvo patvirtinta, ar „Mythos“ buvo įtrauktas į šias diskusijas ir ar biuras gavo prieigą testavimui. Komisijos atstovai taip pat akcentuoja, kad pagal DI aktą pažangių modelių tiekėjai turi valdyti kibernetines rizikas, o Kibernetinio atsparumo aktas numato privalomus reikalavimus skaitmeniniams produktams, kurie patenka į ES rinką.
Vis dėlto teisėkūros logika čia susiduria su praktiniu barjeru: jei modelis formaliai nepateikiamas į rinką, reguliuotojų svertai gali būti riboti, o prieiga priklauso nuo pačios bendrovės sprendimo. Būtent dėl to vis dažniau keliama mintis, kad tarptautiniai DI saugos procesai, tokie kaip G7 Hirošimos procesas ar Jungtinių Tautų dialogai dėl DI valdymo, kol kas neužtikrina realios, vykdytinos priežiūros.
„Mythos“ atvejis išryškino ir platesnę tendenciją: valstybės konkuruoja dėl lyderystės DI srityje, todėl saugos ir priežiūros klausimai neretai atsiduria antrame plane. Tuo pat metu kibernetinio saugumo ekspertai pabrėžia, kad tokio tipo modeliai gali radikaliai pakeisti tiek pažeidžiamumų paieškos, tiek jų išnaudojimo greitį, todėl viešasis sektorius siekia aiškesnių taisyklių, kaip su itin rizikingomis DI galimybėmis turi būti dalijamasi ir kas turi teisę jas tikrinti.
„Tai verčia klausti, kas būtų, jei tai būtų ne „Anthropic“, o, pavyzdžiui, Kinijos kūrėjas“, – yra sakiusi nepriklausoma DI tyrėja Laura Caroli, atkreipdama dėmesį į geopolitinį aspektą. Mintis paprasta: kai prieiga ir kontrolė koncentruojasi kelių privačių žaidėjų rankose, valstybių saugumo priklausomybės gali augti greičiau nei priežiūros pajėgumai.
Kol „Mythos“ plačiai neprieinamas, išorinis vertinimas lieka ribotas, o Europos institucijoms tenka remtis bendrovės teikiama informacija ir dvišaliais kontaktais. Vis dažniau skamba raginimai stiprinti nepriklausomų testavimo centrų tinklą ir kurti aiškią, iš anksto sutartą prieigos tvarką, kad pažangūs DI modeliai būtų tikrinami ne tik privačiose laboratorijose, bet ir viešojo intereso pagrindu.
Šaltiniai:
– https://www.anthropic.com/glasswing
– https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities
– https://artificialintelligenceact.eu/the-ai-act/
– https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
Leave a Reply