Τέσσερις αποτυχίες. Τέσσερις στρώσεις. Η αρχιτεκτονική herself είναι η ευπάθεια.

Μια πρόσφατη επεισόδιο της 10ης Απριλίου 2026 του podcast Hard Fork των New York Times εξέτασε τις επιπτώσεις της κυβερνοασφάλειας για τα προηγμένα συστήματα AI και έθεσε ένα ερώτημα που η βιομηχανία είχε αποφύγει: τι αν η κυβερνοασφάλεια δεν είναι υποβαθμισμένη, αλλά ουσιαστικά λανθασμένα πλαισιωμένη;

Το επεισόδιο προβλήθηκε εβδομάδες μετά από μια σειρά περιστατικών που έκαναν την απάντηση δύσκολο να αγνοηθεί. Σε ένα μόνο μήνα, ένα αυτόνομο πράκτορα AI παραβίασε την εσωτερική πλατφόρμα AI της McKinsey σε δύο ώρες. Eine επίθεση αλυσίδας εφοδιασμού σε một ευρέως χρησιμοποιούμενη ανοιχτή πηγή βιβλιοθήκη AI κατέβηκε σε επιχειρήσεις hạ游. Ερευνητές έδειξαν ότι το υλικό που ήταν το τελευταίο σημείο άμυνας μπορεί να σπάσει με εξοπλισμό που κοστίζει λιγότερο από χίλια δολάρια. Και η Anthropic αποκάλυψε ότι ένα μοντέλο.frontier είχε αυτονομία βρήκε χιλιάδες zero-day ευπαθειών σε κώδικα που η βιομηχανία θεωρούσε σταθερό.

Τέσσερις περιπτώσεις. Τέσσερις στρώσεις του σταδίου AI: εφαρμογή, ορχήστρα, υλικό και λειτουργικό σύστημα. Κάθε μια αποκάλυψε σημαντικές περιορισμοί στα ελέγχους που σχεδιάστηκαν για να τα προστατεύσουν.

Το Τέλος της Σκέψης Περίμετρου

Η παραδοσιακή κυβερνοασφάλεια βασίζεται σε μια seule πρόταση: με αρκετούς ελέγχους, παρακολούθηση και επένδυση, τα συστήματα μπορούν να ασφαλιστούν. Αυτή η πρόταση διαμόρφωσε δεκαετίες αρχιτεκτονικής, συμπεριλαμβανομένων τείχων προστασίας, διαχείρισης ταυτότητας, ασφάλειας τελικού σημείου και πλατφορμών SIEM, όλα βασισμένα στην ιδέα ότι η ορατότητα και η στενή διαχείριση ισοδυναμούν με ασφάλεια.

Η βιομηχανία έχει αρχίσει να μετατοπίζεται προς την Αρχιτεκτονική Zero Trust, που αντανακλά την αυξανόμενη αναγνώριση ότι τα παραδοσιακά όρια δικτύου δεν μπορούν πλέον να θεωρηθούν αξιόπιστα. Όμως, ακόμη και καθώς τα μοντέλα εμπιστοσύνης εξελίσσονται, τα συστήματα AI εισάγουν μια διαφορετική πρόκληση: ευαίσθητα δεδομένα συλλέγονται, επεξεργάζονται και μοιράζονται συνεχώς σε πολλαπλά στρώματα υποδομής.

Αυτή η προσέγγιση είχε νόημα όταν τα συστήματα ήταν σχετικά κεντραлизμένα και τα δεδομένα παρέμειναν μέσα σε σαφώς καθορισμένα όρια. Γίνεται πολύ λιγότερο αποτελεσματική όταν τα δεδομένα κινούνται συνεχώς σε σύννεφα, API, τρίτους προμηθευτές και πipelines AI, ενώ οι χρήστες και οι πόρων υπολογισμού είναι κατανεμημένοι παγκοσμίως. Το περίμετρος δεν είναι πλέον ένα όριο. Είναι μια συνεχώς μεταβαλλόμενη επιφάνεια, και ακόμη εφαρμόζουμε σκέψη ελέγχου σε συστήματα που δεν μπορούν να ελεγχθούν πραγματικά.

Αποτυχία Στρώσης Εφαρμογής: Lilli της McKinsey

Στις 9 Μαρτίου 2026, η εταιρεία ασφαλείας CodeWall δημοσίευσε μια ανακοίνωση που υπογράμμισε τους κινδύνους που αντιμετωπίζουν οι οργανισμοί που αναπτύσσουν AI εσωτερικά. .

Ο αυτόνομος επιθετικός πράκτορας της CodeWall, χωρίς διαπιστευτήρια, χωρίς εσωτερικές γνώσεις και χωρίς ανθρώπινη καθοδήγηση, απέκτησε πρόσβαση ανάγνωσης και εγγραφής στη βάση δεδομένων παραγωγής πίσω από την Lilli, την εσωτερική πλατφόρμα AI της McKinsey, σε λιγότερο από δύο ώρες. Η Lilli χρησιμοποιείται από περισσότερους από 40.000 υπαλλήλους για στρατηγική εργασία, έρευνα πελάτη και ανάλυση εγγράφων, παράγοντας εκατοντάδες χιλιάδες προτροπές το μήνα.

Το σημείο εισόδου δεν ήταν σύνθετο. Ο πράκτορας βρήκε δημόσια εκτεθειμένα έγγραφα API που λίστα περισσότερα από 200 τελικά σημεία, 22 από τα οποία δεν απαιτούσαν αυθεντικοποίηση. Οι ευπαθειές που συμμετείχαν αντανακλούν κινδύνους που υπογραμμίζονται στο OWASP Top 10 για Εφαρμογές LLM, ιδιαίτερα γύρω από εκτεθειμένα διασυνδέσεις, ασφαλείς ολοκλήρωσεις και υπερβολική εμπιστοσύνη σε συνδεδεμένα συστήματα.

Ένα από αυτά τα τελικά σημεία περιείχε μια ευπάθεια ένεσης SQL κρυμμένη σε ονόματα πεδίων JSON παρά σε εισαγωγικές τιμές, όπου οι περισσότεροι αυτόματοι σαρωτές κοιτάζουν. Από εκεί, ο πράκτορας επαναλάμβανε την κωφή ένεση SQL μέχρι τα δεδομένα παραγωγής να γίνουν προσβάσιμα.

Τι πρόσβασε: δεκάδες εκατομμύρια μηνύματα chat σε κείμενο, εκατοντάδες χιλιάδες αρχεία, δεκάδες χιλιάδες λογαριασμούς χρηστών και εκατομμύρια θραύσματα εγγράφων RAG που αντιπροσωπεύουν χρόνια ιδιωτικής έρευνας. Επίσης, ταυτοποίησε τις προτροπές συστήματος που κυβερνούσαν πώς η Lilli συμπεριφερόταν για κάθε χρήστη.

Η πιο ανησυχητική ανακάλυψη δεν ήταν το όγκο. Ήταν ότι οι προτροπές συστήματος ήταν γραπτές. Ένας επιτιθέμενος θα μπορούσε να έχει σιωπηλά ξαναγράψει τις οδηγίες που κυβερνούσαν τις εξόδους της Lilli, να δηλητηριάσει στρατηγικές συμβουλές, να ενσωματώσει εμπιστευτικά δεδομένα σε απαντήσεις ή να αφαιρέσει φραγμούς εντελώς, με μια einz更新 της βάσης δεδομένων. Χωρίς ανάπτυξη. Χωρίς αλλαγή κώδικα. Χωρίς ίχνος στα αρχεία εφαρμογής.

Σε μια δημόσια ανακοίνωση, η McKinsey είπε ότι επιλύθηκε το ζήτημα μέσα σε ώρες και, μετά από μια έρευνα από μια τρίτη εταιρεία forensics, δεν βρήκε κανένα στοιχείο ότι εμπιστευτικά δεδομένα πελάτη είχαν πρόσβαση. Αυτή η απάντηση έχει σημασία. Αλλά δεν αλλάζει τη δομική διδασκαλία: μια δεκαετής κλάση ευπαθειών αποκάλυψε τη λειτουργική μνήμη ενός σύγχρονου συστήματος AI επειδή τα δεδομένα πίσω του υπήρχαν σε αναγνώσιμη μορφή.

Αποτυχία Στρώσης Ορχήστρας: Η Επίθεση LiteLLM

Τρεις εβδομάδες αργότερα, το ίδιο μοτίβο εμφανίστηκε από μια διαφορετική γωνία και μέσω μιας διαφορετικής στρώσης.

Το LiteLLM είναι μια ανοιχτή πηγή πύλη AI που χρησιμοποιείται από χιλιάδες εταιρείες για να διαβιβάζουν αιτήσεις σε παρόχους AI. Η θέση του στη στρώση είναι κρίσιμη: βρίσκεται στη στρώση ορχήστρας, κρατώντας κλειδιά API για κάθε παρόχο που συνδέεται. Κάθε παραβίαση σε αυτό το επίπεδο εκθέτει πιστοποιητικά σε κάθε ολοκληρωμένο υπηρεσία.

Σύμφωνα με μια αναφορά περιστατικού PyPI, η ομάδα επιτιθέμενων TeamPCP εκμεταλλεύτηκε πιστοποιητικά που συνδέονται με μια εξάρτηση στη διαδικασία CI/CD του LiteLLM και χρησιμοποίησε πρόσβαση διατηρητή για να δημοσιεύσει δύο διαβρωμένες εκδόσεις του πακέτου LiteLLM απευθείας στο PyPI. . Οι μολυσμένες εκδόσεις ήταν ζωντανές για λιγότερο από μια ώρα πριν αφαιρεθούν. Η λειτουργία ανακαλύφθηκε μόνο επειδή το κακόβουλο λογισμικό περιείχε einen βουγ που έσπασε τη μηχανή ενός ερευνητή.

Η αλυσίδα εφοδιασμού ήταν ο διανυσματικός. Η στρώση ορχήστρας ήταν το στόχο. Με την παραβίαση μιας seule εξάρτησης ροής, οι επιτιθέμενοι έφτασαν στη στρώση όπου ζούσαν τα κλειδιά παρόχων κάθε εταιρείας.

Η ομάδα LiteLLM αργότερα λεπτομέρειες το περιστατικό και τις προσπάθειες μείωσης σε μια δημόσια ανακοίνωση GitHub.

Το εύρος της έκρηξης έγινε ορατό σχεδόν αμέσως. Το TechCrunch, το Fortune και το The Register ανέφεραν ότι η Mercor, μια εταιρεία भरOSE AI αξίας 10 δισεκατομμυρίων δολαρίων που εργάζεται με εταιρείες όπως η OpenAI, η Anthropic, η Meta και η Google, ήταν μεταξύ των εταιρειών που επηρεάστηκαν. Οι επιτιθέμενοι ισχυρίστηκαν ότι απέκτησαν μεγάλες ποσότητες δεδομένων, συμπεριλαμβανομένων προφίλ υποψηφίων, προσωπικών δεδομένων, βίντεο συνεντεύξεων, κώδικα και κλειδιών API. Η Meta σταμάτησε την εργασία με την Mercor pending έρευνα. Συμπληρωματική αναφορά έδειξε παρόμοια μοτίβα κακόβουλου λογισμικού σε άλλα εργαλεία και πακέτα, υποδηλώνοντας ότι η λειτουργία μπορεί να έχει επεκταθεί πέρα από ένα seul έργο.

Η επίθεση LiteLLM δεν ήταν μια ανωμαλία. Ήταν το σύστημα που συμπεριφερόταν όπως είχε σχεδιαστεί. Κάθε συνιστώσα σε μια πipeline AI απαιτεί πρόσβαση σε χρήσιμα δεδομένα για να λειτουργήσει, που σημαίνει ότι κάθε συνιστώσα είναι επίσης ένα πιθανό σημείο εξαγωγής. Το pinning των εξαρτήσεων και η περιστροφή των πιστοποιητικών είναι αναγκαίες απαντήσεις, αλλά δεν αντιμετωπίζουν το περιστατικό, αλλά την αρχιτεκτονική.

Αποτυχία Στρώσης Υλικού: TEE.fail

Εάν η παραβίαση McKinsey έδειξε ότι η στρώση εφαρμογής δεν μπορεί να εμπιστευθεί, και η επίθεση LiteLLM έδειξε ότι η αλυσίδα εφοδιασμού δεν μπορεί να εμπιστευθεί, η έρευνα TEE.fail έδειξε ότι το υλικό που προορίζεται να αντισταθμίσει και τις δύο δεν μπορεί να εμπιστευθεί πλήρως.

Στις 28 Οκτωβρίου 2025, ερευνητές από το Georgia Tech, το Purdue University και το Synkhronix δημοσίευσαν το TEE.fail, μια επίθεση side-channel που εξάγει κρυπτογραφικά κλειδιά από Trusted Execution Environments χρησιμοποιώντας φυσική διασύνδεση μνήμης bus σε διακομιστές DDR5. Η επίθεση επηρεάζει το Intel SGX, το Intel TDX και το AMD SEV-SNP, συμπεριλαμβανομένων πλήρως επιδιορθωμένων, trusted-status συστημάτων με το AMD’s Ciphertext Hiding enabled. Αυτές είναι οι τεχνολογίες που προωθούνται ευρέως ως η βάση της υπολογιστικής confidential.

Οι ερευνητές εξήγαγαν κλειδιά attestation: το κρυπτογραφικό υλικό που χρησιμοποιείται για να επιβεβαιώσει ότι οι φόρτοι εκτελούνται μέσα σε ασφαλή περιβάλλοντα. Με αυτά τα κλειδιά, ένα συμβιβασμένο σύστημα μπορεί να παρουσιάσει τον εαυτό του ως αξιόπιστο ενώ λειτουργεί εξολοκλήρου έξω από τις αναμενόμενες προστασίες. Οι ερευνητές έδειξαν αυτό直接: они forged TDX attestations στο Ethereum’s BuilderNet για να αποκτήσουν πρόσβαση σε εμπιστευτικά δεδομένα συναλλαγών και faked Intel και NVIDIA attestations για να εκτελέσουν φόρτους έξω από οποιαδήποτε TEE ενώ φαίνονταν νόμιμες.

Η επίδραση NVIDIA έχει σημασία για το AI ειδικά. Επειδή η attestation GPU εξαρτάται από την attestation CPU, μια συμβιβασμένη αλυσίδα εμπιστοσύνης CPU μπορεί να υπονομεύσει τις εγγυήσεις που παρέχονται από τα περιβάλλοντα confidential AI inference. Η υλική βάση της confidential AI inference είναι, σε αυτό το μοντέλο απειλής, προϋπόθεση μιας αλυσίδας εμπιστοσύνης CPU που έχει αποδειχθεί ότι έχει σπάσει.

Οι προμηθευτές υλικού απάντησαν με формικές συμβουλές. Η AMD δήλωσε ότι οι φυσικές επιθέσεις πτώσης εξωτερικών του τυπικού μοντέλου απειλής και έδειξε ότι δεν θα εκδώσει ενημερώσεις firmware. Η Intel και η NVIDIA αναγνώρισαν τα ευρήματα και έδειξαν ότι συνεχίζουν τις προσπάθειες μείωσης. Αυτές οι απαντήσεις είναι λογικές μέσα στα μοντέλα απειλής τους. Επίσης, υπογραμμίζουν ένα σημαντικό όριο: οι εγγυήσεις της ασφάλειας υλικού εξαρτώνται από υποθέσεις, συμπεριλαμβανομένης της φυσικής ελέγχου, που οι κυρίαρχες, ρυθμιζόμενες και ανταγωνιστικές αναπτύξεις δεν μπορούν πάντα να κάνουν.

TEE.fail δεν καθιστά την απομόνωση υλικού ασήμαντη. Δείχνει ότι είναι προϋπόθεση.

Αποτυχία Στρώσης Λειτουργικού Συστήματος: Η Αποκάλυψη Mythos

Εάν τα πρώτα τρία περιστατικά αμφισβήτησαν τη στρώση εφαρμογής, τη στρώση ορχήστρας και τη στρώση υλικού, μια τέταρτη αποκάλυψη τον Απρίλιο του 2026 αμφισβήτησε τη στρώση κάτω από όλες τις άλλες: τα λειτουργικά συστήματα και τις βασικές βιβλιοθήκες που κάθε άλλη στρώση εκτελεί.

Στις 7 Απριλίου 2026, η Anthropic ανακοίνωσε το Claude Mythos Preview, ένα μοντέλο frontier που αρνήθηκε να το δημοσιεύσει δημόσια λόγω των ικανοτήτων ασφάλειας και同时 launched το Project Glasswing, ένα consortium με την AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, το Linux Foundation, Microsoft, NVIDIA και Palo Alto Networks. Η Anthropic ανέφερε ότι, σε λίγες εβδομάδες, το Mythos είχε αυτονομία βρήκε χιλιάδες άγνωστες ευπαθειών σε κύρια λειτουργικά συστήματα και web browsers και ήταν ικανό να παράγει εργασιακές εκμεταλλεύσεις για πολλές από αυτές.

Τα συγκεκριμένα ευρήματα είναι πιο δύσκολο να αγνοηθούν από οποιαδήποτε περίληψη. Μια 27χρονη ευπάθεια στο OpenBSD. Μια 17χρονη απομακρυσμένη εκτέλεση κώδικα στο NFS server του FreeBSD, τώρα καταγράφεται ως CVE-2026-4747, που παρέχει πρόσβαση root σε ένα μη αυθεντικοποιημένο επιτιθέμενο. Μια 16χρονη ευπάθεια στο FFmpeg, μια από τις πιο διαδεδομένες βιβλιοθήκες μέσων στο διαδίκτυο. Σε μια περίπτωση, ένας μηχανικός της Anthropic χωρίς επίσημη εκπαίδευση ασφαλείας ζήτησε από το μοντέλο να ψάξει για ευπαθειών εκτέλεσης κώδικα και ξύπνησε με μια πλήρη εργασιακή εκμετάλλευση.

Αυτά είναι ευρήματα στρώσης λειτουργικού συστήματος. Το OpenBSD και το FreeBSD είναι πυρήνες. Το NFS είναι ένα υποσύστημα δικτύωσης πυρήνα. Το FFmpeg είναι μια βιβλιοθήκη συστήματος που διανέμεται με την πλειοψηφία των διανομών Linux και υποστηρίζει pipelines μέσων στο διαδίκτυο. Η στρώση ΛΣ θεωρήθηκε ασφαλής όχι επειδή είχε αποδειχθεί ασφαλής, αλλά επειδή η εύρεση βαθιών ευπαθειών σε αυτό απαιτούσε σπάνιες και ακριβές ανθρώπινες εμπειρίες. Αυτή η υπόθεση ήταν η καλύτερη διαθέσιμη εύρεση. Δεν ήταν ποτέ μια εγγύηση.

Αυτός ο περιορισμός έχει τώρα χαλαρώσει. Η Anthropic herself το πλαίσιο ως μια dual-use μετατόπιση: οι ίδιες ικανότητες που επιτρέπουν σε ένα μοντέλο frontier να βρει και να επιδιορθώσει ευπαθειών σε κλίμακα cũng επιτρέπουν, στα λάθος χέρια, να βρει και να εκμεταλλευτεί ευπαθειών σε κλίμακα. Η απόφαση της Anthropic να περιορίσει την πρόσβαση μέσω του Project Glasswing αντανακλά αυτή την πραγματικότητα. Δεν την επιλύει. Παρόμοιες ικανότητες θα, από την εκτίμηση της εταιρείας, προωθήσουν. Το κόστος ελέγχου κώδικα έχει καταρρεύσει, και μαζί του η σιωπηλή άμυνα ότι这样的 κώδικας ήταν πολύ παλιός, πολύ ασαφής ή πολύ ευρέως αναθεωρημένος για να περιέχει ακόμη κρίσιμες ευπαθειών.

Αυτή είναι επίσης η θέση όπου τα τέσσερα περιστατικά συνδυάζονται. Η στρώση υλικού με τις προστασίες confidential computing δεν λειτουργεί σε απομόνωση. Λειτουργεί ως κώδικας πυρήνα. Το Intel TDX λειτουργεί στο πυρήνα. Οι οδηγοί GPU της NVIDIA λειτουργούν ως μονάδες πυρήνα. Η αλυσίδα TEE attestation εξαρτάται από ένα αξιόπιστο λειτουργικό σύστημα για να αναφέρει πιστά τι κάνει. Αν η στρώση ΛΣ κάτω από την TEE σας έχει δεκάδες χρόνια κρυφών ευπαθειών και ένα μοντέλο frontier μπορεί τώρα να τις βρει με ταχύτητα μηχανής, τότε η ασφάλεια της στρώσης υλικού εξαρτάται από μια στρώση ΛΣ που έχει αποδυναμωθεί από την ίδια κυκλοφορία αποκάλυψης.

Τα τρία πρώτα περιστατικά περιγράφουν πώς τα συστήματα AI παραβιάζονται σήμερα. Το Mythos περιγράφει το ρυθμό με τον οποίο όλα τα υπόλοιπα, συμπεριλαμβανομένων των λειτουργικών συστημάτων, των μονάδων πυρήνα και των βιβλιοθηκών συστήματος, θα επαναεξεταστούν από τις μηχανές.

Η παραβίαση McKinsey εκμεταλλεύτηκε μια κλάση ευπαθειών ένεσης SQL που υπήρχε για περισσότερο από δύο δεκαετίες. Ευπαθειών αυτού του είδους είναι ακριβώς αυτά που τα μοντέλα της κλάσης Mythos είναι ικανά να βρουν σε βιομηχανική κλίμακα.

Το Μοτίβο

Σε κάθε περίπτωση, τα δεδομένα ήταν σε κείμενο την στιγμή που mattered.

Η στρώση εφαρμογής τα επεξεργαζόταν σε κείμενο. Η στρώση ορχήστρας τα δρομολόγησε σε κείμενο. Η στρώση υλικού, παρά τις προστασίες της, τελικά απαιτούσε αποκρυπτογράφηση στο σημείο εκτέλεσης. Η στρώση ΛΣ κάτω από όλες τις άλλες λειτουργούσε σε κείμενο από定义. Τέσσερις στρώσεις, τέσσερις αποτυχίες, και σε κάθε στρώση η ίδια συνθήκη ίσχυε: όταν συνέβη η παραβίαση, τα δεδομένα ήταν αναγνώσιμα.

Αυτή δεν είναι μια συλλογή απομονωμένων αποτυχιών. Είναι η αρχιτεκτονική herself.

Τα σύγχρονα συστήματα AI σχεδιάζονται για να λειτουργούν σε αναγνώσιμα δεδομένα. Κάθε στρώση, συμπεριλαμβανομένης της ανάκτησης, δρομολόγησης, inference και εκτέλεσης εργαλείων, απαιτεί πρόσβαση σε κείμενο για να λειτουργήσει. Αυτή η επιλογή σχεδιασμού σημαίνει ότι κάθε παραβίαση σε κάθε στρώση εκθέτει τα δεδομένα πίσω από αυτήν.

Το ερώτημα δεν είναι αν μια στρώση θα παραβιαστεί. Είναι τι βρίσκει ο επιτιθέμενος όταν συμβεί.

Από Assumed Breach σε Zero Exposure

Η βιομηχανία έχει ήδη αρχίσει να μετατοπίζεται από “προστασία παραβίασης” σε “υποθέτουμε παραβίαση.” Αλλά οι περισσότερες αρχιτεκτονικές δεν έχουν ακολουθήσει τις επιπτώσεις.

Εάν η παραβίαση είναι αναπόφευκτη, τότε το πραγματικό ερώτημα δεν είναι πώς να giữτε τους επιτιθέμενους έξω. Είναι τι συμβαίνει όταν μπαίνουν. Τώρα, η απάντηση είναι απλή: τους δίνετε τα δεδομένα. Επειδή παρά tất cả τις επενδύσεις σε υποδομή ασφαλείας, τα δεδομένα εξακολουθούν να εκτίθενται ακριβώς τη στιγμή που γίνονται χρήσιμα, όταν χρησιμοποιούνται.

Η απάντηση της βιομηχανίας ήταν προβλέψιμη: περισσότερη παρακολούθηση, ταχύτερη ανίχνευση, πρόσθετες στρώσεις confidential computing. Αυτά είναι βελτιώσεις. Αλλά δεν λύνουν το βασικό ζήτημα. Εξακολουθούν να υποθέτουν ότι κάποια στρώση — είτε λογισμικό, υλικό ή λειτουργικό — μπορεί να εμπιστευθεί να διατηρήσει τα δεδομένα σε κείμενο ασφαλή.

Η εναλλακτική είναι να αφαιρέσετε τα δεδομένα σε κείμενο εντελώς. Όχι να ασφαλίσετε τις στρώσεις γύρω από τα δεδομένα, αλλά να κάνετε τα δεδομένα ίδια αθέατα σε οποιονδήποτε φτάνει σε αυτά. Η υπολογιστική σε κρυπτογραφημένα δεδομένα, όπου οι προτροπές, τα βάρη μοντέλου και οι εξόδους παραμένουν κρυπτογραφημένα καθ’ όλη τη διάρκεια της πipeline, αντιμετωπίζει την έκθεση που εκμεταλλεύτηκαν αυτά τα περιστατικά.

Προόδους στη πλήρη ομομορφική κρυπτογράφηση και άλλες τεχνικές υπολογιστικής που διατηρούν την ιδιωτικότητα αρχίζουν να κάνουν αρχιτεκτονικές που ελαχιστοποιούν ή αφαιρούν την έκθεση σε κείμενο ολοένα και πιο πρακτικές για πραγματικά AI workloads. Ενώ σημαντικά προβλήματα απόδοσης, κλιμάκωσης και υλοποίησης παραμένουν, ο στόχος είναι ουσιαστικά διαφορετικός από τους παραδοσιακούς ελέγχους ασφαλείας: μειώνει την αξία μιας επιτυχημένης παραβίασης αντί να κάνει την παραβίαση λιγότερο πιθανή.

Η μετατόπιση δεν είναι από ένα εργαλείο ασφαλείας σε ένα άλλο. Είναι από την ασφάλεια συστημάτων στην έκθεση μείωσης. Από την ασφάλεια υποδομής στην ασφάλεια δεδομένων zero-trust. Από τη διαχείριση του κινδύνου στη μείωση της επιφάνειας επιθέσεων herself.

Τι Έρχεται Επόμενο

Η συζήτηση Hard Fork έθεσε το ερώτημα αν η κυβερνοασφάλεια είναι ουσιαστικά λανθασμένα πλαισιωμένη. Τα στοιχεία από τις τελευταίες εβδομάδες δείχνουν ότι η απάντηση είναι ναι, τουλάχιστον για το AI.

Το παλιό μοντέλο υποθέτησε ότι τα συστήματα μπορούν να ασφαλιστούν, οι παραβιάσεις μπορούν να περιοριστούν και η έκθεση μπορεί να διαχειριστεί. Η αναδυόμενη πραγματικότητα είναι ότι οι παραβιάσεις πρέπει να υποθέτονται και η έκθεση πρέπει να μειώνεται. Τα περιστατικά που περιγράφηκαν εδώ δείχνουν ότι η ασφάλεια των συστημάτων AI μπορεί να εξαρτάται ολοένα και περισσότερο από τη μείωση του ποσού των ευαίσθητων δεδομένων που διατίθενται όταν οι έλεγχοι αποτυχούν.

Οι ευπαθειές που εκτέθηκαν σε αυτά τα τέσσερα περιστατικά δεν είναι περιορισμένες σε μια seule στρώση. Είναι συστημικές. Η αντιμετώπιση τους θα απαιτήσει περισσότερο από τακτικές βελτιώσεις. Θα απαιτήσει μια μετατόπιση από την ασφάλεια συστημάτων στην έκθεση μείωσης, από την άμυνα του περιμέτρου γύρω από τα δεδομένα στην αφαίρεση των δεδομένων σε κείμενο που το περίμετρος χτίστηκε για να προστατεύσει.

Η ασφάλεια AI δεν είναι πλέον για να giữσει τους επιτιθέμενους έξω. Είναι για να διασφαλίσει ότι όταν μπαίνουν, και θα μπουν, δεν υπάρχει τίποτα αναγνώσιμο για να βρουν.