МНЕНИЕ Поставщики ИИ: «Вам нужно использовать ИИ для борьбы с угрозами ИИ (и для всего остального в вашей корпоративной ИТ-среде)». И тут же поставщики ИИ: «Это не уязвимость безопасности, это штатное поведение».
Этот паттерн становится все более распространенным по мере того, как цифровые энтузиасты убеждают бизнес использовать ИИ для решения любых задач, особенно в части обнаружения и блокирования проблем безопасности. И так — до тех пор, пока уязвимость не обнаруживается в самом ИИ, и тогда это уже «ожидаемое поведение» или «риск, заложенный в конструкцию».
Возможно, если повезет, компания-разработчик ИИ, допустившая ошибку, тихо опубликует новые соображения по безопасности в своей документации. Но коренная проблема не решается. В некоторых случаях — например, при инъекции промптов — разработчики по сути, не могут исправить уязвимость, даже если бы захотели.
Несколько недавних примеров показывают, как это разворачивается.
Исследователи недавно продемонстрировали, как три популярных агента ИИ, интегрированных с GitHub Actions, могут быть скомпрометированы для кражи API-ключей и токенов доступа. Этими тремя агентами являются Claude Code Security Review от Anthropic, Gemini CLI Action от Google и GitHub Copilot от Microsoft, и все три поставщика выплатили вознаграждения за обнаружение уязвимостей.
Anthropic выплатила вознаграждение в размере 100 долларов, повысила критическую оценку с 9.3 до 9.4 и обновила раздел «соображения по безопасности» в своей документации. Google выплатила вознаграждение в размере 1337 долларов за находку. А GitHub, после того как сначала назвала это «известной проблемой», которую «не удалось воспроизвести», в конечном итоге выплатила исследователям приз в размере 500 долларов за раскрытие информации.
Ни один из поставщиков не присвоил CVE и не опубликовал публичных уведомлений о безопасности.
Другая команда охотников за ошибками раскрыла конструктивный недостаток, заложенный в протокол контекста модели (MCP) Anthropic, который, по их словам, ставит под угрозу полное поглощение до 200 000 серверов.
Они «неоднократно» просили Anthropic устранить коренную проблему, но им постоянно отвечали, что протокол работает как задумано — несмотря на то, что для отдельных инструментов с открытым исходным кодом и агентов ИИ, использующих MCP, уже выпущено 10 (на данный момент) CVE с высоким и критическим уровнем серьезности.
По утверждению охотников за ошибками, исправление корневой проблемы могло бы снизить риски для программных пакетов с общим числом загрузок более 150 миллионов и защитить миллионы конечных пользователей.
Причина отказа Anthropic от исправления уязвимости? Ожидаемое поведение. «Это явная часть работы серверов MCP stdio, и мы считаем, что такая конструкция не является безопасной по умолчанию», — сообщили исследователям в AI-компании.
Это означает, что в очередной раз крайне запутанный вопрос обеспечения безопасности этих сложных, недетерминированных систем ИИ перекладывается на ИТ-отделы или конечных пользователей. В данном случае это касается любого разработчика, использующего официальный SDK MCP от Anthropic в своих приложениях или проектах с открытым исходным кодом, а также любой компании, внедряющей этот код с открытым исходным кодом и инструменты ИИ в свою среду.
Если немного отвлечься: стоит отметить полное отсутствие в США федерального регулирования ИИ, ограничивающего компании, занимающиеся ИИ. И это несмотря на то, что одна из них (Anthropic) на прошлой неделе предупредила, что ее последняя модель настолько искусно находит уязвимости безопасности, что ее выпуск в открытый доступ был бы слишком опасным. Трудно представить другую отрасль, где компания могла бы заявить: «Наш продукт ставит всех под серьезную угрозу», и при этом продолжать безнаказанно работать.
Я стараюсь привить своим детям идею о том, что зрелость и завоевание доверия означают принятие ответственности за свой выбор и действия, а также признание своих ошибок. Это включает в себя признание неправоты, исправление ошибок, когда это возможно, и коррекцию курса, чтобы в следующий раз быть лучше.
Все это поведение в стиле «это не я» со стороны компаний ИИ, заявляющих, что безопасность — это проблема кого-то другого, демонстрирует полное отсутствие зрелости — или даже обычной порядочности. Остается только гадать, как скоро клиенты придут к такому же выводу. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
