هوش‌مصنوعی که وزارت جنگ آمریکا برای آن دندان تیز کرد

یک ابزار جدید هوش مصنوعی ساخته شده که می‌تواند مثل یک هکر حرفه‌ای، داخل پیچیده‌ترین سیستم‌های کامپیوتری دنبال نقطه‌ضعف بگردد؛ با این تفاوت که قرار است به‌جای حمله، از آن برای محافظت استفاده شود. نام این مدل «میتوس» است؛ محصول تازه شرکت آنتروپیک که هنوز به‌طور عمومی در دسترس نیست و بیشتر در اختیار شرکت‌های بزرگ فناوری و نهادهای امنیتی قرار گرفته است.

در ظاهر، «میتوس» قرار است به سازمان‌ها کمک کند قبل از هکرها، حفره‌های امنیتی را پیدا کنند؛ اما توانایی آن در شبیه‌سازی سناریوهای نفوذ، باعث شده توجه نهادهایی مثل پنتاگون هم به آن جلب شود. همین نزدیکی به حوزه‌های حساس امنیتی، باعث شده بحث‌ها درباره این مدل فقط فنی نباشد، بلکه به یک نگرانی جدی تبدیل شود: اینکه ابزاری که برای دفاع ساخته شده، تا چه حد می‌تواند خودش به یک تهدید تبدیل شود.

میتوس یکی از جدیدترین مدل‌های آنتروپیک است که به عنوان بخشی از سیستم گسترده‌تر هوش مصنوعی این شرکت به نام «کلود» توسعه یافته است. این سیستم شامل دستیار هوش مصنوعی و خانواده مدل‌های آنتروپیک است که با چت‌جی‌پی‌تی شرکت اپن‌ای‌آی و جمنای گوگل رقابت می‌کند.

این مدل در اوایل آوریل توسط آنتروپیک به صورت پیش‌نمایش معرفی شد. این مدل بدون نیاز به دستور انسانی پیچیده، می‌تواند خودش مسیرهای نفوذ احتمالی را پیدا کند و حتی سناریوهای حمله را شبیه‌سازی کند.

محققانی که نحوه برخورد مدل‌های هوش مصنوعی با درخواست‌ها یا وظایف خاص را آزمایش می‌کنند (تیم‌های قرمز)، در گزارشی گفتند که میتوس به طور قابل توجهی در وظایف امنیت رایانه‌ای توانمند است.

آنها دریافتند که این ابزار می‌تواند اشکالات خفته‌ای را که در کدهای دهه‌ها پیش پنهان شده‌اند، پیدا کرده و به راحتی از آنها سوءاستفاده کند.

بنابراین به جای اینکه آن را به طور گسترده در دسترس کاربران کلود قرار دهد، آنتروپیک از طریق پروژه گلس‌وینگ که آن را «تلاشی برای ایمن‌سازی حیاتی‌ترین نرم‌افزارهای جهان» توصیف کرده، به ۱۲ شرکت فناوری دسترسی داد. این شرکتها شامل غول رایانش ابری آمازون، اپل، مایکروسافت، گوگل و سازندگان تراشه انویدیا و برودکام هستند.

کرادسترایک که به‌روزرسانی معیوب نرم‌افزاری آن باعث اختلال گسترده جهانی در جولای ۲۰۲۴ شد، نیز در میان شرکای این پروژه است و آنتروپیک می‌گوید که به بیش از ۴۰ سازمان مسئول نرم‌افزارهای حیاتی نیز به میتوس دسترسی داده است.

شرکت آنتروپیک اعلام کرده در جریان آزمایش‌های داخلی، مدل میتوس توانایی بسیار بالایی در انجام وظایف مرتبط با امنیت سایبری و شناسایی ضعف‌های نرم‌افزاری از خود نشان داده است؛ تا حدی که در برخی موارد، عملکرد آن از کارشناسان انسانی هم بهتر بوده است.

این شرکت در ۷ آوریل مدعی شد پیش‌نمایش این مدل تاکنون «هزاران آسیب‌پذیری با شدت بالا» را در سیستم‌عامل‌ها و مرورگرهای اصلی شناسایی کرده است. به گفته آنتروپیک، سرعت پیشرفت چنین مدل‌هایی به‌قدری بالاست که به‌زودی می‌توانند فراتر از کنترل یا نظارت دقیق حتی توسعه‌دهندگان خود عمل کنند.

در توضیحات این شرکت همچنین آمده است که میتوس قادر است بدون نظارت گسترده، ضعف‌های حیاتی و فوری را حتی در سیستم‌های قدیمی کشف کند؛ از جمله نمونه‌هایی که در آن یک آسیب‌پذیری ۲۷ ساله شناسایی شده و برای سوءاستفاده از آن مسیرهایی پیشنهاد داده است.

همین توانایی‌ها باعث شده نگرانی‌ها از سطح فنی فراتر برود و به حوزه سیاست و اقتصاد هم کشیده شود. در ماه‌های اخیر، برخی وزیران دارایی، رؤسای بانک‌های مرکزی و فعالان حوزه سرمایه‌گذاری نسبت به تأثیر این مدل بر امنیت سیستم‌های مالی هشدار داده‌اند.

وزیر دارایی کانادا، گفته است موضوع میتوس در نشست اخیر صندوق بین‌المللی پول در واشنگتن مورد بحث قرار گرفته و تأکید کرده این فناوری به اندازه‌ای ناشناخته و پیچیده است که توجه تمام وزیران دارایی را به خود جلب کرده است.

از سوی دیگر، اندرو بیلی، رئیس بانک انگلیس نیز هشدار داده که باید با دقت بررسی شود این نسل جدید هوش مصنوعی چه پیامدهایی برای ریسک جرایم سایبری و امنیت مالی خواهد داشت.

در همین حال، اتحادیه اروپا نیز اعلام کرده در حال گفت‌وگو با آنتروپیک درباره نگرانی‌های مرتبط با این مدل است.

مدل‌هایی مثل «میتوس» دقیقاً در مرزی حرکت می‌کنند که هم می‌تواند یک نقطه قوت باشد و هم یک ریسک جدی. از یک طرف، این ابزار برای پیدا کردن ضعف‌های امنیتی و کمک به امن‌تر شدن سیستم‌ها طراحی شده است؛ اما از طرف دیگر، همان توانایی می‌تواند در مسیر کاملاً متفاوتی هم به کار گرفته شود.

بزرگ‌ترین نگرانی این است که مدلی که می‌تواند مثل یک هکر حرفه‌ای نقاط ضعف را شناسایی کند، اگر به دست افراد یا نهادهای نادرست بیفتد، عملاً به یک ابزار آماده برای حمله سایبری تبدیل می‌شود. در چنین حالتی، همان قابلیتی که برای دفاع ساخته شده، می‌تواند برای نفوذ به بانک‌ها، شرکت‌ها یا حتی زیرساخت‌های حیاتی مورد استفاده قرار بگیرد.

موضوع دیگر، سرعت و استقلال این سیستم‌هاست. گزارش‌ها نشان می‌دهد این مدل‌ها می‌توانند بدون دخالت مستقیم انسان، آسیب‌پذیری‌های جدی را در سیستم‌های قدیمی شناسایی کنند و حتی برای بهره‌برداری از آن‌ها پیشنهاد ارائه دهند. این سطح از خودکار بودن، مرز کنترل انسانی را باریک‌تر از همیشه می‌کند.

در کنار این موارد، نگرانی بزرگ‌تر مربوط به مقیاس است؛ یعنی اینکه چنین توانایی‌هایی در صورت گسترش گسترده، می‌توانند سطح حملات سایبری را از سطح فردی و محدود، به یک تهدید ساختاری برای کل سیستم‌های مالی و دیجیتال جهان تبدیل کنند.

گزارش‌ها حاکی از آن است که وزارت جنگ آمریکا و برخی نهادهای امنیتی، به‌دنبال دسترسی به این مدل یا ورود به همکاری‌های رسمی با شرکت سازنده آن هستند. پیش از این نیز شرکت آنتروپیک با پنتاگون در ارائه خدمات همکاری داشته که نمونه اخیر آن دست داشتن در کشتار و جنگی بود که آمریکایی‌ها در ایران به راه انداختند.

این سطح از توجه و ورود نهادهای حساس، نگرانی‌ها را نیز تشدید کرده است. منتقدان هشدار می‌دهند اگر چنین مدلی از چارچوب‌های کنترل خارج شود یا به هر شکل به دست بازیگران مخرب برسد، می‌تواند قواعد بازی در حوزه حملات سایبری را به‌طور اساسی تغییر دهد؛ به‌گونه‌ای که سرعت، دقت و مقیاس حملات، به سطحی برسد که پیش از این سابقه نداشته است.