英国政府は水曜日、公開状で企業に対し、サイバー防御を強化するよう警告した。人工知能の進歩が脅威環境をどのように変える可能性があるかについての懸念が高まる中、長年のガイダンスを強化している。
この警告は、AI企業Anthropicが先週、最新モデルMythosを発表した後の懸念の高まりに続いている。同社は、ソフトウェアの脆弱性が自動的に発見され、悪用される速度を加速させる可能性のある高度な機能を実証したと述べた。
この発表は技術セクター以外での懸念を引き起こし、イングランド銀行総裁のアンドリュー・ベイリーが潜在的なシステミックサイバーリスクについて警告し、セキュリティ専門家がこのような機能がどの程度の速さで現実の攻撃に転換されるかについて議論している。
セキュリティ技術者ブルース・シュナイアーを含む一部の研究者は、Mythosの差し迫った脅威を過大評価する危険性について警告し、同様の警告は以前のAI対応ツールの世代に伴ってきたことに注目し、ますますアクセス可能なハッキング機能の着実な広がりが、組織が防御を再評価するきっかけとなるべきであると述べた。
英国政府の公開状は、英国のAIセキュリティ研究所(AISI)による評価を引用しており、同研究所は、Mythosが「これまでに評価したいかなるモデルよりもサイバー攻撃能力が高い」ことを発見したと述べているが、実世界の脅威との比較を複雑にする重大な制限があることも強調した。
専門家は、AIがすでに脆弱性が特定され、悪用される速度と規模を増加させており、すべてのセクターの企業にとってリスクを高めていると述べている。
公開状に付随するブログ投稿で、国家サイバーセキュリティセンターの最高経営責任者リチャード・ホーンは、「サイバーセキュリティを保護するための適切な措置を講じていない組織がAIによって露出される傾向がますます増していく」と述べた。
しかし、ホーンは、AI対応ツールが攻撃者の弱点を見つけて悪用する能力を改善する可能性がある一方で、テクノロジーを効果的に導入した防御者も検出と対応を強化することができると述べた。
「フロンティアAIモデルのコード内の脆弱性を見つける能力は、最終的には私たちのサイバーセキュリティにとって良いことになり得る」と彼は述べた。
その報告書で、AISIはMythosを「少なくとも、ネットワークへのアクセスが獲得された小規模で、防御が弱く、脆弱なエンタープライズシステムを自律的に攻撃することが可能」と説明した。
しかし、同研究所は、そのテスト環境が意図的にシンプル化されており、実世界のシステムよりも侵害されやすく、アクティブなセキュリティチーム、監視ツール、および検出のリスクがないことを強調した。これらの要因は通常、攻撃者の制約となる。
同研究所は、このためそのようなシステムがよく防御されたネットワークに対してどのように機能するかを評価することが難しく、モデルの機能のより劇的な解釈の一部を緩和していると述べた。
より高度なAI対応サイバー操作は、政府支援プログラムで既に出現している可能性がある。今年初め、Recorded Future Newsの報告は、防御されたネットワークをナビゲートしながら検出を回避できるAIシステムを構築する取り組みを概説した漏洩した中国の技術文書について詳しく述べた。
文書は、脆弱性を見つけるだけでなく、秘密のアクセスを維持することに焦点を当てていることを示唆している。これは、制御されたAI評価でテストされたものよりも複雑な課題である。
オックスフォード大学ブラバトニック政府大学院の教授シアラン・マーティンは、同研究所によるMythosの評価がAI駆動のサイバーリスクに関する議論に現実性をもたらすのに役立つと述べた。
「AISIレポートは、熱狂の中に非常に必要とされた厳密な現実性をもたらしました。AIのハッキング機能が以前に考えられていたよりもさらに急速に加速していることを示しています」とマーティンは述べた。
「一方、AISIはテストの限界について明確です。実質的には、Mythosはゴールキーパーのいないチームに対してゴールを決めるのに優れたフットボールのストライカーのようなもので、イタリアンキーパーのジャンルイジ・ドンナルッマのような選手相手にはまだテストされていないと言っています。改めて、Anthropicなどが与えてくれるこの移籍ウィンドウで防御をアップグレードするために緊急の注意が必要であることに戻ります。」
政府の公開状は、エグゼクティブがサイバーレジリエンスについて直接責任を負うよう以前の呼びかけを繰り返し、リーダーシップの関与が重要であることを強調しています。企業に基本的なセキュリティ対策に投資し、サイバーリスクへの露出を理解し、インシデントに対応し、回復できることを確認するよう促しています。
メッセージの多くは、システムのパッチ適用、ネットワークの監視、インシデント対応計画の準備を含む、基本的なサイバーセキュリティプラクティスを採用するよう企業に促すための以前のガイダンスに似ています。これらの対策は、当局が何年も警告してきた通り、業界全体に不均等に実装されているままです。
翻訳元: https://therecord.media/anthropic-mythos-uk-cyber-risk
