Lumalabas ang malaking pag-aalala tungkol sa pinakabagong modelo na 'Mitos' ng kumpanyang AI sa Amerika na Anthropic. Sinasabing napakalakas ng modelong ito sa paghahanap ng mga kahinaan sa seguridad. May paliwanag din na kaya nitong kalkulahin nang mag-isa kahit ang landas ng pag-atake nang walang tulong ng tao. Ayon sa ulat, nahanap ng AI na ito kahit ang depekto sa operating system na hindi nakita ng mga eksperto sa loob ng 27 taon. Sinasabing mga 50 dolyar lang ang gastos. Kaya lumakas ang babala na maaaring maging target ng pag-atake ang mahahalagang pasilidad tulad ng power grid, sistema ng tubig, at sistema ng bangko. Dahil sa ganitong panganib, hindi inilabas ng Anthropic sa publiko ang Mitos. Sa halip, sinimulan nito ang isang proyekto na limitado lamang na ipinakita sa mahigit 40 lugar tulad ng Apple at Google para subukan ang sistema ng depensa. Habang kinakabahan ang buong mundo, iniulat ng JTBC na nagsimula na rin ang pamahalaan ng Korea ng agarang pagtugon.
원문 보기Nakakatakot ang Mithos hindi dahil sa 'salita' kundi dahil sa 'gawa'
Kapag unang narinig mo ito, puwede mong maramdaman ito: Marami nang nagsabi noon na 'mapanganib ang AI', kaya ano ang kakaiba ngayon? Pero ang sentro ng usapin sa Mithos ay hindi chatbot na mahusay sumagot, kundi agent na uri ng AI na kumikilos at kayang pagdugtung-dugtungin ang maraming hakbang ng pag-hack kapag binigyan ng layunin.
Ang karaniwang pang-usap na AI ay magaling sa pagtanggap ng tanong at paggawa ng sulat o pagpapaliwanag ng code. Samantala, sa mga ulat at paliwanag tungkol sa Mithos, binibigyang-diin ang mga kakayahan tulad ng pagtuklas ng kahinaan (paghahanap ng mahinang bahagi ng sistema), paghinuha ng ruta ng pag-atake (pagkuwenta kung saan papasok at paano kakalat), at pagpili ng ibang daan kapag pumalya. Sa madaling sabi, hindi ito mukhang 'notebook ng taong hacker', kundi parang 'manlalaro ng chess na patuloy na pumipili ng susunod na galaw'.
Kaya lumalabas pa ang matinding salitang tulad ng 'sandata para sa cyber terror'. Ang dahilan kung bakit ito mapanganib ay hindi dahil biglang naging demonyo ang AI, kundi dahil kaya nitong itulak nang mas mura at mas mabilis ang proseso ng pag-hack na dati ay mahirap, magastos, at matagal gawin. Mas tama na tingnan ang pagbabagong ito hindi bilang kuwento ng horror movie, kundi bilang kuwento na biglang lumaki ang agwat sa bilis sa seguridad.
Ang tunay na punto ng pag-aalala sa Mithos ay hindi 'matalino ang AI' kundi 'naipagpapatuloy nito ang pagpili ng mga hakbang nang mag-isa'.
Ibig sabihin, pinag-uusapan ang sandali na ang uri ng panganib ay lumilipat mula sa 'nakapipinsalang sagot' papunta sa 'awtomatikong tunay na pag-atake'.
Ano ang pagkakaiba kapag pinagtabi ang karaniwang chatbot at Mithos
| Aytem | Karaniwang chatbot | Awtonomong hacking AI gaya ng Mithos |
|---|---|---|
| Pangunahing layunin | Pagsagot sa tanong, pagbubuod, pagsusulat, tulong sa code | Pagtuklas ng kahinaan, pagkuwenta ng ruta ng pag-atake, pag-awtomatiko ng proseso ng pagpasok |
| Paraan ng paggana | Tumutugon na uri na nagre-react sa input ng gumagamit | Uri ng ahente na nagdurugtong ng maraming hakbang kapag may ibinigay na layunin |
| Pagtugon sa kabiguan | Kapag nagtanong ulit, sasagot ulit | Kapag naipit, puwedeng maghanap ng ibang daan at baguhin ang susunod na kilos |
| Pangunahing panganib | Paglikha ng mapanganib na impormasyon, maling sagot | Pagtaas ng bilis ng pag-atake sa totoong sistema, pagbaba ng hadlang sa pagpasok |
| Paraan ng pagpapalabas | Maraming serbisyong para sa publiko | Limitadong pagbubukas, nakatuon sa piling partner na pagsusuri |
Ang sabi na 'kusang hinahanap ang daan ng pag-atake', ganito ang takbo nito sa pag-hack
Ang pag-hack ay karaniwang hindi natatapos sa isang beses lang. Proseso ito ng sunod-sunod na pagbukas ng maraming pinto, at ang awtonomong AI ay mas malapit sa panig na gustong magplano mismo ng pagkakasunod-sunod na iyon.
Hakbang 1: Pagsisiyasat
Una, nangongolekta ng impormasyon tungkol sa sistema. Tinitingnan kung anong operating system ang gamit, anong mga serbisyo ang bukas, at kung aling bahagi ang lumang kagamitan. Madaling isipin ito bilang yugto kung saan inilalatag ng taong hacker ang mapa.
Hakbang 2: Pagmomodelo ng kapaligiran
Batay sa nakuhang impormasyon, bumubuo ito ng palagay na 'anong kahinaan kaya ang meron dito'. Dito pumapasok ang mga konsepto tulad ng grap ng pag-atake (mapang iginuhit ng mga posibleng daan ng pagpasok).
Hakbang 3: Paglikha ng mga posibleng daan
Hindi lang isang kahinaan ang tinitingnan, kundi gumagawa rin ng iba't ibang daan na tuloy-tuloy mula sa unang pagpasok hanggang pagtaas ng pahintulot, pagnanakaw ng kredensiyal, at paggalaw sa loob. Sa pag-hack, ang talagang mapanganib ay ang 'pagkakaugnay' na ito.
Hakbang 4: Pagpili ng susunod na kilos
Pinipili ang susunod na hakbang na may pinakamataas na posibilidad ng tagumpay. Kung ang dating awtomatikong kasangkapan ay mas malapit sa 'pagpapatakbo ng nakatakdang pindutan', ang awtonomong ahente naman ay gustong umabot hanggang sa 'pagtingin sa sitwasyon at pagpili ng susunod na pindutan'.
Hakbang 5: Pag-iwas kapag nabigo
Kapag nabara ang isang daan, hindi ibig sabihin ay tapos na, dahil maaari pang kalkulahin ulit ang ibang daan. Kaya sinasabi na mas lumalaki ang panganib hindi sa iisang kahinaan kundi sa pagkalat sa loob.
Hakbang 6: Pag-abot ng layunin
Sa huli, tutungo ito sa mga layunin tulad ng pagnanakaw ng datos, pagpahinto ng serbisyo, o pagkuha ng kontrol. Ibig sabihin, mas tinatanggap ito na parang 'tagapagpatupad ng pag-atake na bahagyang kumikilos nang kusa' kaysa simpleng 'kasangkapan'.
Bumabaha ang mga kahinaan, pero bakit lalong hinihingal ang pangkat ng depensa
Ipinapakita ng mga numero sa ibaba kung gaano hindi nagtutugma ang 'bilis ng pagkakatuklas' at 'bilis ng pagsusuri at pagkilos'. Habang mas malaki ang halaga, mas mabigat ang pasanin sa operasyon.
Isang bahagi lang ang kailangan mahanap ng umaatake, pero kailangang bantayan ng tagapagtanggol ang lahat
| Pagkakaiba | Pagbabago sa panig ng umaatake | Pasanin sa panig ng tagapagtanggol |
|---|---|---|
| Pagtuklas ng kahinaan | Sa AI, puwedeng makita nang mas mura at mas mabilis kahit ang mga kahinaang matagal na nakatago | Sobrang dumadami ang listahan na kailangang uriin kung alin ang totoong mapanganib |
| Kundisyon para magtagumpay | Kahit isang bahagi lang ang mapasok, puwede nang pumunta sa susunod na hakbang | Kailangang tuloy-tuloy suriin ang buong mga ari-arian at magtakda ng prayoridad |
| Bilis ng paglalagay ng patch | Sapat na para sa umaatake na kumilos muna bago ang patch | Ang nagtatanggol ay kailangang tapusin hanggang pag-aayos, paglalabas, at pagberipika |
| Mahihinang target | Madaling puntiryahin ang lumang kagamitan, OT, embedded, at kagamitang hindi puwedeng lagyan ng patch | Ang mga sistemang hindi puwedeng ihinto ay lalo nang mahirap palitan at lagyan ng security patch |
| Resulta | Bumababa ang hadlang sa pagpasok para sa panghihimasok | Ang operasyon sa seguridad ay lumilipat mula sa problemang 'pagtuklas' tungo sa problemang 'bottle neck sa pagproseso' |
May dahilan kung bakit laging unang nababanggit ang grid ng kuryente, tubig, at bangko
Nakakatakot ang mga larangang ito hindi lang dahil sa mga imahinasyong parang pelikula. Paulit-ulit kasing ipinakita ng mga totoong pangyayari sa kasaysayan na 'kayang pahintuin ng digital na pag-atake ang mga tungkulin ng lipunan.'
Dekada 1960: paglaganap ng SCADA
Kumalat ang SCADA(sistema ng malayuang pagsubaybay at pagkontrol ng kagamitang pang-industriya) na nagbabantay at kumokontrol nang malayuan sa malalawak na pasilidad gaya ng kuryente, tubig, at gas. Noong panahong iyon, ang pilosopiya ng disenyo ay mas malapit sa matatag na operasyon at episyensiya kaysa seguridad.
1996: ginawang pormal ang konsepto ng mahalagang imprastruktura
Pinagsama ng EO 13010 na utos administratibo ng Amerika ang kuryente, pananalapi, tubig, transportasyon, at iba pa bilang mahahalagang imprastrukturang kailangang protektahan ng estado. Ito ang panimulang punto na nagpapakita sa patakaran kung bakit laging unang nababanggit ang mga larangang ito.
2010: dagok ng Stuxnet
Ipinakita ng Stuxnet(malisyosong code na tumatarget sa sistemang pangkontrol ng industriya) na hindi lang ito nagnanakaw ng impormasyon sa loob ng computer, kundi kaya rin nitong sirain ang totoong pisikal na pasilidad. Ito ang naging turning point na nagpakita na kayang galawin ng cyber attack ang mga makina sa totoong mundo.
2015: pag-hack sa grid ng kuryente ng Ukraine
Nagkaroon ng totoong brownout. Lalong luminaw na kapag na-hack ang grid ng kuryente, hindi lang abala ang dulot nito kundi puwede ring yanigin ang buong tungkulin ng lipunan.
2021: insidente ng Colonial Pipeline
Ang pag-atake sa IT network para sa trabaho ay humantong sa aberya sa suplay ng fuel. Ipinakita ng insidenteng ito kung gaano kakabit sa operasyon ang IT at OT, ibig sabihin ang network ng mga computer sa opisina at ang network ng kagamitang pang-operasyon.
Dekada 2020: seguridad na nakatuon sa resiliency
Ngayon, kulang na ang pag-iisip na 'pigilang mapasok.' Ang mahalaga na ngayon ay kung gaano kabilis makabawi at mapanatili ang tungkulin ng lipunan kahit may pag-atake, ibig sabihin ang resiliency(resilience) ang naging susi.
Bakit nga ba mahina ang mga pasilidad na pundasyon? Paghahambing ng kahinaan ng grid ng kuryente, tubig, at bangko
| Larangan | Bakit ito unang nababanggit | Bakit ito mahina |
|---|---|---|
| Grid ng kuryente | Kapag may brownout, sunod-sunod ang epekto hanggang industriya, transportasyon, at komunikasyon | Umaasa sa sistemang pangkontrol ng industriya, lumang kagamitan, at kailangang tuloy-tuloy ang operasyon |
| Sistema ng tubig | Direktang konektado sa pampublikong kalusugan at pang-araw-araw na kaligtasan ng buhay | Kagamitang may malayuang kontrol, pagtanda ng kagamitan sa lugar, at hirap sa pagpapalit at inspeksiyon |
| Bangko at pananalapi | Kapag nayanig ang bayaran at galaw ng pondo, agad kumakalat ang takot sa ekonomiya | Magkahalo ang lumang computer network at makabagong serbisyo, at mataas ang pagkakakonekta |
Kaya bakit nga ba ipinapakita ang ganitong AI sa ilang kumpanya lang
| Aytem | Bukas na bigat·malawak na pampublikong pagbubukas | API·limitadong pamamahagi sa piling partner |
|---|---|---|
| Lakas | beripikasyon ng pananaliksik, pagkalat ng inobasyon, pagpapalawak ng akses | madaling gawin ang pagsubaybay sa gamit, limitasyon sa bilis, parusa sa account, at paglalapat ng update |
| Kahinaan | kapag nailabas na nang isang beses, halos imposibleng mabawi at makontrol | pagtuon ng kapangyarihan sa kumpanya, posibleng hindi malinaw ang pamantayan |
| Pamantayan sa paghatol sa pamamahagi | mas pinapahalagahan ang pagiging bukas at pagkalat ng ekosistema | mas pinapahalagahan ang pagsusuri ng panganib tulad ng maling paggamit sa cyber, kusang pagkilos, at pag-iwas sa mga pananggalang |
| Konteksto ng Mithos | kapag inilabas sa publiko, puwedeng masyadong malaki ang epekto ng maling paggamit | pamamaraan ito na gustong mag-test muna kasama ang mga piling kumpanya at suriin muna ang sistema ng depensa |
Ang totoong dapat gawin ng gobyerno ay hindi 'pagbabawal sa AI' kundi pag-aayos ng bilis ng pagtugon
Kahit dumating ang ganitong banta, hindi ito matatapos sa isang batas lang. Sa totoong pagtugon, kailangang paandarin nang sabay-sabay ang ilang bahagi.
Hakbang 1: Iayos muli ang pag-uuri ng banta
Kailangang idagdag ang mga katangian ng AI sa kasalukuyang balangkas ng banta sa cyber. Kailangan kasing hiwalay na pamahalaan ang mga bagong aytem tulad ng seguridad ng mismong modelo, proteksiyon ng datos sa pagsasanay, at pag-uulat ng insidente sa AI.
Hakbang 2: Ayusin ang batas at pamantayan sa pagkuha
Dapat ilagay ng gobyerno ang prinsipyong 'secure by design(ligtas ang disenyo mula sa simula)' sa pagkuha at regulasyon. Kailangan may mga kailangan sa seguridad sa buong siklo ng pagbuo, pamamahagi, pagpapatakbo, at pagtatapon para maging epektibo ito.
Hakbang 3: I-upgrade ang sistema ng pagbabahagi ng impormasyon ng pribado at gobyerno
Kung mas mabilis makahanap ng kahinaan ang AI, dapat mas mabilis ding magbahagi ang mga kumpanya at gobyerno ng impormasyon at mga palatandaan ng insidente. Ang huling pagbabahagi ay puwedeng direktang humantong sa pagkalat ng pinsala.
Hakbang 4: Pabilisin ang pagtuklas at pagtugon gamit ang AI
Kung gumagamit ng AI ang umaatake, dapat palakasin din ng depensa ang pagsusuring batay sa AI at awtomatikong pagtugon. Sa tao lang, nagiging mahirap nang sabayan ang laban sa bilis na umaabot kada minuto.
Hakbang 5: Diplomasya at pandaigdigang kooperasyon
May mga babala na na ginagamit ng mga aktor ng estado ang AI sa digmaang impormasyon at cyberattack. Kaya nagiging mahalaga ang diplomasya para magtugma ang mga magkakaalyadong bansa sa pamantayan ng pagsusuri, impormasyon ng insidente, at magkakatulad na tuntunin.
Hakbang 6: Tauhan at pagsasanay
Sa huli, ang madalas makaligtaan ay ang usapin ng tao. Hindi natatapos ang seguridad sa AI sa pagbili lang ng mga gamit. Kailangan may mga taong talagang magpapatakbo nito, magsusuri, at magbabawas ng maling paghatol.
Ang pagbaligtad ng teknolohiya ng depensa para maging teknolohiya ng pag-atake ay hindi naman talaga unang beses
Kahit mukhang bago ang Mithos, kung titingnan sa mas malaking daloy, hindi ito ganap na bagong kuwento. Ang teknolohiya sa seguridad ay mula pa noon na umuunlad na may dobleng gamit(mabuting gamit at masamang gamit nang magkasama).
Sinauna~makabago: ang kodigo ay orihinal na teknolohiya ng estado
Ang kriptograpiya ay mas naunang umunlad bilang teknolohiya para sa pagprotekta ng lihim ng militar at diplomasya kaysa sa personal na messenger app. Ibig sabihin, mula sa simula pa lang, magkasama na ang depensa at digmaang impormasyon.
Unang kalahati ng ika-20 siglo: kagamitang pangkodigo at laban sa pagde-decode
Ang iisang sistema ng kodigo ay naging kalasag sa isang panig, at sa kabilang panig naman ay target na kailangang basagin. Ang kumpetisyon ng kagamitang pangkodigo noong panahon ng digmaan ay malinaw na nagpapakita ng dalawang mukha ng teknolohiya sa seguridad.
Dekada 1970: paglawak ng pampublikong susi na kodigo
Lumaganap ang teknolohiya sa seguridad lampas sa larangang militar papunta sa mga pribadong network at serbisyong komersiyal. Habang lumalaki ang mabuting gamit, lalo ring tumitindi ang pagiging sensitibo nito bilang estratehikong teknolohiya.
Dekada 1990: Crypto Wars
Ang malakas na pag-encrypt ay nakita bilang paraan para protektahan ang mga mamamayan, pero kasabay nito, ginagawa rin nitong mas mahirap ang kontrol ng estado. Isang halimbawa ito kung paano ang usaping teknolohiya ay agad naging usaping politikal at pang-institusyon.
2000s~ngayon: maling paggamit ng mga kasangkapan ng red team
Ang mga kasangkapang tulad ng Cobalt Strike at Metasploit ay orihinal na para sa penetration test at pagsasanay sa depensa. Pero ginamit din ng mga tunay na umaatake ang parehong mga kasangkapan. Ang kontrobersiya ng Mitos ay puwedeng makita bilang eksena kung saan umakyat ang pattern na ito sa antas ng AI.
Kaya ang Mitos shock ay hindi isang 'nakakatakot na pelikula ng AI' kundi senyales na nagsimula na ang mabilisang laban sa seguridad
Sa madaling sabi, ito iyon. Hindi ibig sabihin na ang Mitos ay halimaw na agad sisira sa mundo. Limitado pa rin ang pampublikong impormasyon, at may posibilidad ding may halong pagmamalabis sa mga ulat ng media. Pero kahit isaalang-alang iyon, malinaw pa rin na ang mundo ay kumikilos sa direksiyong bumibilis ang bilis ng paghahanap at pagdurugtong ng mga kahinaan.
Mas malapit ito sa araw-araw nating buhay kaysa iniisip ng marami. Kapag nawalan ng kuryente, nagulo ang suplay ng tubig, huminto ang sistema ng bangko, at ang luma nang sistema ng kumpanya o ospital ay hindi makasabay sa patch, ang nahihirapan sa huli ay ang mga mamamayan. Kaya ang isyung ito ay hindi lang 'balita sa loob ng industriya ng AI' kundi kuwento rin ng pagtaas ng gastos sa pagpapanatili ng pang-araw-araw na imprastraktura.
Sa hinaharap, ang mas mahalagang tanong ay mas malapit sa 'sino ang mas mabilis makakaangkop' kaysa sa 'mapipigilan ba ang AI'. Ang umaatake ay nakakakuha ng bilis, at ang nagtatanggol ay kailangang bawasan ang bottleneck. Pinaka-makatotohanang basahin ang Mitos shock bilang mismong hudyat ng pagsisimula niyan.
Ang pinakadiwa ng kontrobersiya ng Mitos ay hindi ang takot sa AI mismo kundi ang pagbilis ng awtomasyon ng pagha-hack.
Kaya ang solusyon ay mas malapit sa mabilis na patch, pagbabahagi ng impormasyon, katatagan sa pagbangon, at internasyonal na kooperasyon kaysa sa pagbabawal.
Ipinapaliwanag namin kung paano mamuhay sa Korea
Pakibigyan po ng maraming pagmamahal ang gltr life