Razvoj umjetne inteligencije posljednjih godina ubrzano ulazi u srž kritične infrastrukture. Dotiče se financijskih sustava, državnih mreža i globalne digitalne ekonomije.
Rijetko koji AI sustav izazvao je toliku pozornost regulatora, sigurnosnih stručnjaka i financijske industrije kao Mythos, napredni model tvrtke Anthropic.
Ono što je započelo kao eksperimentalni alat za detekciju ranjivosti, u kratkom je vremenu postalo potencijalna prijetnja globalnoj stabilnosti. Suprotno tome, postalo je i moćno sredstvo obrane.
U ovom trenutku, Mythos nije samo još jedan AI model. Simbol nove faze kibernetičkog ratovanja, u kojoj umjetna inteligencija može istovremeno štititi i napadati. Reagira brže nego što institucije mogu reagirati.
Kada AI nadmaši sustave kontrole
Europski i globalni regulatori već su podigli razinu pripravnosti. Prema dostupnim izvješćima, institucije Europske unije aktivno komuniciraju s predstavnicima Anthropica kako bi procijenile rizike koje donosi Mythos.
Bankarski sektor, osobito u Europi, već je u izravnom kontaktu s regulatorima, svjestan da se suočava s tehnologijom koja može radikalno promijeniti sigurnosnu dinamiku.
Iako se ne govori o panici, jasno je da postoji zabrinutost.
Christian Sewing, izvršni direktor (CEO) Deutsche Bank naglasio je kako Mythos nije neposredna prijetnja, ali zahtijeva kontinuirano praćenje i prilagodbu strategija upravljanja rizikom.
Problem je dvostruke prirode. S jedne strane, regulatorima nedostaje potpuni uvid u model, a s druge strane, njegov razvoj nadilazi postojeće zakonodavne okvire.
Konkretno, riječ je o institucijama kao što su Europska komisija, Europska središnja banka i Europsko nadzorno tijelo za bankarstvo, ali i o tijelima poput Financial Stability Board.
S regulatorne strane, ključni okvir predstavlja AI Act, prvi sveobuhvatni zakon EU-a o umjetnoj inteligenciji, koji uvodi kategorizaciju rizika i strože obveze za visokorizične sustave.
Uz njega, relevantni su i Opća uredba o zaštiti podataka te Direktiva NIS2, koji reguliraju zaštitu podataka i sigurnost mrežnih sustava.
Međutim, ovakvi napredni AI modeli pokazuju da postojeći zakonodavni okvir teško prati brzinu i kompleksnost razvoja tehnologije.
Što sve Mythos može?
Glavni razlog za uzbunu leži u sposobnostima koje Mythos posjeduje. Za razliku od klasičnih sigurnosnih alata koji analiziraju sustave u relativno sporim ciklusima, ovaj model može identificirati kompleksne ranjivosti u djeliću vremena.
Drugim riječima, ono za što su sigurnosnim timovima potrebni tjedni ili mjeseci, Mythos može obaviti u satima ili čak minutama.
Crolens
No, tu priča postaje ozbiljnija. Model ne samo da detektira propuste, već ih može i eksploatirati.
Istraživači su pokazali da može razviti sofisticirane metode napada, uključujući penetraciju sustava i zaobilaženje sigurnosnih protokola.
Takva kombinacija sposobnosti čini Mythos jedinstvenim. Ne radi se samo o alatu za analizu, već o potencijalno autonomnom akteru u kibernetičkom prostoru.
AI postaje haker?
Tradicionalno, kibernetička sigurnost temelji se na utrci između napadača i branitelja kibernetičke sigurnosti. No Mythos tu ravnotežu mijenja.
Ako AI može analizirati sustave i generirati napade brže nego što ih ljudi mogu spriječiti i tada dolazi do asimetrije koja ide u korist napadača.
Takva situacija najviše zabrinjava regulatore i sigurnosne stručnjake.
Reuters sugerira da Mythos može pronaći sigurnosne propuste i do 100 puta brže od vrhunskih timova hakera.
Još veći problem predstavlja potencijalna demokratizacija takvih napada. Tehnologija bi mogla omogućiti i manje iskusnim akterima izvođenje sofisticiranih operacija.
Drugim riječima, Mythos bi mogao sniziti prag za ulazak u svijet kibernetičkog kriminala.
Financijski sektor na prvoj liniji
Banke su među prvim institucijama koje osjećaju pritisak ove tehnologije. Razlog tome je što su financijski sustavi kompleksni, povezani i izuzetno vrijedni ciljevi.
Također, Mythos je već testiran u kontekstu financijske infrastrukture, gdje je pokazao sposobnost identificiranja kritičnih slabosti. Iz tog razloga regulatori i banke rade u bliskoj koordinaciji kako bi spriječili potencijalne zloupotrebe.
Dodatni izazov predstavlja činjenica da se tehnologija razvija brže od internih kontrolnih mehanizama banaka. Stručnjaci upozoravaju da tradicionalni modeli upravljanja rizikom više nisu dovoljni te da je potrebna integracija AI-a u sve razine poslovanja.
Ograničeni pristup i kontrolirano širenje
Anthropic je svjestan potencijalnih rizika, zbog čega je pristup Mythosu strogo kontroliran. Model nije široko dostupan, a njegova distribucija odvija se postupno i uz sigurnosne provjere.
Takav pristup ima dvostruki učinak. S jedne strane, smanjuje rizik od zloupotrebe. S druge strane, stvara frustraciju među regulatorima i institucijama koje žele razumjeti tehnologiju prije nego što postane široko dostupna.
Ova situacija otvara pitanje može li se globalna tehnologija regulirati ako joj pristup imaju samo odabrani akteri?
EU AI Act i nova pravila igre
Europska unija već ima određeni regulatorni okvir kroz AI Act, no Mythos testira njegove granice. Postoji realna mogućnost da će ovakvi modeli biti klasificirani kao visokorizični sustavi, što bi značilo strože kontrole, certifikaciju i nadzor.
Vidimo da problem nije samo u regulaciji. Radi se i o brzini. AI se razvija eksponencijalno, dok zakonodavni procesi traju godinama.
Zbog toga sve više stručnjaka zagovara fleksibilnije modele regulacije koji mogu pratiti tehnološke promjene u realnom vremenu.
Dvosjekli mač: prijetnja ili rješenje?
Unatoč svim rizicima, Mythos nije nužno negativna pojava.
Naprotiv, može postati ključni alat za unapređenje kibernetičke sigurnosti.
Ako se koristi pravilno, može pomoći organizacijama da identificiraju i uklone ranjivosti prije nego što ih napadači iskoriste.
Američke vlasti već potiču kompanije da koriste Mythos upravo u tu svrhu, naime kao obrambeni alat.
AI napreduje, regulatori hvataju korak
Pitamo se kako možemo omogućiti korištenje tehnologije za obranu, a istovremeno spriječiti njezinu zloupotrebu?
S obzirom na globalnu prirodu digitalne infrastrukture, jasno je da pojedinačne države više ne mogu samostalno upravljati rizicima koje donose ovako napredni sustavi.
Potrebna je koordinirana suradnja između regulatora, tehnoloških kompanija i sigurnosnih agencija na međunarodnoj razini.
U tom kontekstu već se uključuju organizacije poput Financial Stability Board-a, koje analiziraju potencijalne sistemske rizike i pokušavaju uspostaviti okvir za upravljanje ovakvim tehnologijama.
Ipak, konkretna i univerzalno prihvaćena rješenja još uvijek ne postoje, što dodatno naglašava kompleksnost problema.
Jedan od smjerova o kojem se sve češće govori uključuje ograničavanje pristupa najnaprednijim AI modelima, uz istovremeno omogućavanje njihovog testiranja u strogo kontroliranim okruženjima.
Takav pristup pokušava pomiriti dvije suprotstavljene potrebe. Razvoj tehnologije i sigurnost sustava.
Kako se umjetna inteligencija nastavlja razvijati velikom brzinom, postaje jasno da Mythos nije izoliran slučaj, već tek prvi pokazatelj nove generacije sustava koji će imati sve veću autonomiju i sposobnost djelovanja.
U nadolazećim godinama možemo očekivati još sofisticiranije modele koji će dodatno zamagliti granicu između alata i aktera u digitalnom prostoru.
Regulatori će imati pune ruke posla. Morat će kontinuirano pratiti prilagodbu i razvoj fleksibilnijih pravila. Moguće da će tvrtke trebati više ulagati u otpornost sustava. Također, cijelo društvo u cjelini će morati redefinirati odnos prema tehnologiji.
