Wszystkie artykuły — 13 postów
Anthropic opublikował raport techniczny o Claude Mythos Preview — modelu który autonomicznie znajduje i exploituje zero-day vulnerabilities w głównych systemach operacyjnych, przeglądarkach i bibliotekach. To jest ta zmiana jakościowa, o której branża security mówiła od lat.
Błędna odpowiedź chatbota to irytacja. Błędna decyzja autonomicznego systemu AI w robocie przemysłowym lub pojeździe autonomicznym to wypadek. Przemysł buduje na platformach AI, które nie były projektowane z myślą o bezpieczeństwie fizycznym.
Jeszcze w 2018 roku atakujący potrzebowali średnio ponad dwóch lat, żeby uzbrojyć wykrytą lukę. Dziś GPT-4 robi to za 8,80 dolarów w kilka minut. Projekt Zero Day Clock dokumentuje jeden z najbardziej niepokojących trendów w historii cyberbezpieczeństwa.
SQL injection był opisany w 1998, ignorowany przez dekadę i przez 15 lat był klasą numer jeden exploitowanych podatności. Prompt injection jest opisany od 2022 i większość aplikacji AI wciąż go nie traktuje poważnie.
Średni koszt naruszenia danych to $4.88M według IBM. Koszt przeprowadzenia AI-powered ataku phishingowego to ułamek tego. Ta asymetria ma konsekwencje dla każdego budżetu security.
Tradycyjny IAM zakłada, że coś autentykuje się raz i wykonuje ograniczone akcje. Agent AI autentykuje się raz i wykonuje setki akcji w wielu systemach przez wiele godzin. Ten model zaufania jest fundamentalnie inny.
Model Context Protocol staje się standardem integracji AI z zewnętrznymi systemami. Problem jest ten sam co z npm, PyPI i każdym innym ekosystemem pakietów: zaufanie bez weryfikacji skaluje się bardzo źle.
Pracownicy wklejają dokumenty strategiczne do ChatGPT, używają AI browser extensions na firmowych laptopach i korzystają z Claude.ai na prywatnych kontach. DLP tego nie widzi. Security monitoring tego nie widzi. A dane wychodzą.
Agent AI wykonuje transakcję finansową i coś idzie nie tak. Użytkownik wskazuje na vendor, vendor wskazuje na użytkownika, a regulacje nie nadążają. Luka odpowiedzialności w finansach jest realna i coraz droższa.
W 2024 roku OpenAI doświadczyło kilku poważnych awarii. Tysiące aplikacji przestały działać. To był test — i pokazał że koncentracja infrastruktury AI tworzy systemowe ryzyko, które jeszcze nie jest nazwane ani zarządzane.
GDPR jest cytowany w przepisach 150+ krajów. Firmy na całym świecie dostosowały procesy do europejskich standardów ochrony danych. EU AI Act próbuje powtórzyć ten sukces dla AI. Są mocne powody, by wątpić że uda się to samo.
Amerykański model AI przetwarza dane obywatela EU przez infrastrukturę w Singapurze. Które prawo obowiązuje? Odpowiedź jest skomplikowana, niesatysfakcjonująca i ma realne konsekwencje dla każdej firmy operującej globalnie.
Dostęp do mocy obliczeniowej GPU determinuje kto może budować modele AI, kto je musi kupować i kto jest zależny od cudzej infrastruktury. W tym układzie nie ma neutralnej opcji — jest Ameryka, Chiny i reszta.