Передовые модели ИИ, вдохновленные Claude Mythos от Anthropic, могут вооружить злоумышленников продвинутыми возможностями, с которыми финансовый сектор Австралии плохо справляется, предупредило финансовое ведомство страны — Управление по регулированию пруденциарной деятельности Австралии (APRA).
В письме, направленном на этой неделе финансовому сектору страны, ведомство изложило, как появление Claude Mythos опрокинуло многолетние предположения о рисках кибербезопасности, связанных с регулируемыми финансовыми услугами.
APRA выражает ряд опасений. Самое большое заключается в том, что отрасль оказалась застигнута врасплох неизвестным фактором риска, вызванным моделью Claude Mythos, которую они до сих пор не смогли изучить самостоятельно.
По мере распространения технологии злоумышленники будут использовать аналогичные модели для более быстрого и легкого обнаружения уязвимостей, что потенциально может превысить скорость, с которой они могут быть устранены сегодняшними программами установки исправлений и восстановления.
Управление не успевает
Прежде чем сделать выводы, APRA провело консультации с отраслью и установило, что управление не успевает за изменением рисков, сигнализируемых ИИ. В ходе этого исследования, как указано в письме, «APRA отметило тенденцию рассматривать риск ИИ как „просто еще одну технологию“. Это упускает из виду ключевые различия, такие как отличительные характеристики предиктивных систем, адаптивное поведение моделей, этические соображения, такие как присущая предвзятость, а также риски конфиденциальности и данных».
Ведомство выявило несколько областей для улучшения. Самая важная — срочная необходимость более быстрого выявления и устранения уязвимостей, что потребует серьезной перестройки текущих процессов. Организациям также потребовалось «надежное тестирование безопасности для кода, программных компонентов и библиотек, сгенерированных ИИ», в сочетании с более глубокой оценкой основных платформ и сервисов ИИ.
«ИИ может сократить цикл атаки и увеличить скорость, координацию и воздействие. В то же время организации используют ИИ для улучшения поиска угроз и выявления уязвимостей, при этом проблема заключается в устранении неполадок со скоростью выявления уязвимостей», — заявило APRA.
Доступ к Mythos
Прошло едва три недели с тех пор, как Anthropic сделала Claude Mythos общедоступным 7 апреля, и трудно вспомнить разработку, которая вызвала столько тревоги в сфере кибербезопасности за столь короткий промежуток времени.
Ранее на этой неделе Михаэль Тойрер, главный надзорный орган Бундесбанка, финансового регулятора Германии, повторил опасения APRA, заявив Reuters, что европейским банкам необходим доступ к Claude Mythos для защиты от кибератак, которые может сделать возможным этот тип моделей.
«Я считаю необходимым, чтобы Европейская комиссия и правительства в Европе теперь также обратились к компании, а точнее к Соединенным Штатам, с просьбой о предоставлении этой технологии. Должен быть официальный запрос, чтобы мы в Европе также могли извлечь выгоду из этих знаний», — сказал Тойрер.
По сообщениям, Anthropic в частном порядке указала, что скоро предоставит банкам за пределами США доступ к Claude Mythos. Однако упоминание США в замечаниях Тойрера намекает на возможность того, что сроки этого доступа могут зависеть от политических отношений между ЕС и администрацией Трампа.
Учитывая взаимозависимость мировых банков, маловероятно, что администрация США задержит более широкий доступ к Claude Mythos, даже когда она ведет переговоры об урегулировании недавней публичной ссоры с Anthropic по поводу обозначения компании как риска для цепочки поставок. Однако, учитывая недавние жалобы на то, что только американским технологическим компаниям до сих пор предоставлялся доступ через отраслевую программу Claude Mythos, Project Glasswing, очевидно, существует некоторое беспокойство.
Целенаправленные атаки «взлетят»
Основное беспокойство, конечно, связано с институциональной взаимосвязанностью: атака на одну финансовую организацию может легко перерасти в более широкую системную проблему, если уязвимость окажется достаточно серьезной.
По словам Джо Бринкли из фирмы по тестированию на проникновение Cobalt, «барьер для входа на уровень государственных кибервозможностей теперь снижен до стоимости API-ключа». И учитывая, что банкам в настоящее время требуются недели для устранения уязвимостей высокой степени серьезности, это подчеркивает необходимость перемен, отметил он.
«Организации, которые продолжают рассматривать наступательную безопасность как периодическое упражнение для галочки, а не как непрерывную функцию, интегрированную с ИИ, фактически ждут неизбежного», — сказал Бринкли. «Если финансовый сектор не автоматизирует свою защиту, чтобы соответствовать скорости атаки, целенаправленные атаки на финансовые услуги резко возрастут, поскольку легкие победы станут полностью автоматизированными».
Кроме того, по словам Стива Тайта, технического директора компании Skyhigh Security, занимающейся облачной безопасностью, модели ИИ, такие как Claude Mythos, представляют собой как возможность, так и угрозу.
«Кибербезопасность всегда была гонкой вооружений, и сочетание опыта в области безопасности с передовыми решениями ИИ поможет командам бороться с ИИ с помощью ИИ», — сказал он. «Если и у атакующего, и у защитника есть доступ к одним и тем же моделям, то игровое поле будет таким же, как сегодня: в целом равным, но движущимся со скоростью тысяча миль в час».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
