Ajatusjohtajat

Tekoälypinon turvallisuus on vaarantunut suunnittelun vuoksi

mm
Julkaistu

Neljä epäonnistumista. Neljä kerrosta. Arkkitehtuuri itsessään on haavoittuvuus.

Uusimman, 10. huhtikuuta 2026 julkaistun New York Timesin Hard Fork -podcastin jakso tarkasteli edistyneiden tekoälyjärjestelmien kyberturvallisuusvaikutuksia ja nosti esiin kysymyksen, jota ala on välttänyt: mitä jos kyberturvallisuus ei ole heikko, vaan perustavanlaatuisesti väärin muotoiltu?

Jakso ilmestyi viikkoja sen jälkeen, kun useat tapahtumat tekivät vastauksen vaikeaksi väittää. Yhden kuukauden aikana itsestään toimiva tekoälyagentti rikkoi McKinsey’n sisäisen tekoälyalustan kahdessa tunnissa. Toimittajaketjuhyökkäys laajasti käytetyssä avoimen lähdekoodin tekoälykirjastossa aiheutti vaikutuksia alihankkijayrityksiin. Tutkijat osoittivat, että tarkoituksena oli olla viimeinen puolustuslinja, voitiin rikkoa alle tuhannen dollarin hintaisilla osilla. Ja Anthropic paljasti, että eturintamalla oleva malli oli itsestään löytänyt tuhannet aiemmin tuntemattomat haavoittuvuudet koodissa, jonka alan oli pitänyt vakaana.

Neljä tapahtumaa. Tekoälypinon neljä kerrosta: sovellus, orkestraatio, laitteisto ja käyttöjärjestelmä. Jokainen paljasti merkittäviä rajoituksia suunniteltujen suojausten toteuttamisessa.

Reunamuodostusajattelun loppu

Perinteinen kyberturvallisuus perustuu yhteen oletukseen: riittävien valvontatoimien, seurannan ja investointien avulla järjestelmät voidaan turvata. Tämä oletus on muovannut vuosikymmenien ajan arkkitehtuuria, mukaan lukien palomuurit, identiteetin hallinta, päätepisteiden turvallisuus ja SIEM-alustat, jotka kaikki perustuvat siihen, että näkyvyys ja tiukka hallinta merkitsevät turvallisuutta.

Alan siirtyminen Zero Trust Architectureen heijastaa kasvavaa tunnistamista siitä, että perinteiset verkkorajat eivät enää voida olettaa luotettaviksi. Kuitenkin vaikka luottamismallit kehittyvät, tekoälyjärjestelmät esittävät erilaisen haasteen: herkillä tiedoilla käydään jatkuvasti väylänä useita infrastruktuurin kerroksia.

Tämä lähestymistapa oli järkevä, kun järjestelmät olivat suhteellisen keskitetyt ja tiedot pysyivät selvästi määritellyn rajauksen sisällä. Se muuttuu paljon vähemmän tehokkaaksi, kun tiedot liikkuvat jatkuvasti pilvien, API-rajapintojen, kolmansien osapuolien ja tekoälyputkien välillä, ja kun käyttäjät ja laskentaresurssit ovat jakautuneet maailmanlaajuisesti. Reunamuodostus ei ole enää raja. Se on jatkuvasti muuttuva pinta, ja me sovellemme edelleen valvontaperusteista ajattelua järjestelmiin, joita ei voida realistisesti hallita.

Sovelluskerroksen epäonnistuminen: McKinsey’n Lilli

9. maaliskuuta 2026 turvallisuusstartup CodeWall julkaisi paljastuksen, joka korosti riskejä, joita organisaatiot kohtaavat, kun ne käyttävät tekoälyä sisäisesti. .

CodeWallin itsestään toimiva hyökkäysagentti, jolla ei ollut minkäänlaisia tunnistautumistietoja, ei ollut sisäistä tietoa eikä ihmisen ohjausta, saavutti lukuoikeuden ja kirjoitusoikeuden tuotantotietokantaan McKinsey’n sisäisen tekoälyalustan Lillin takana alle kahdessa tunnissa. Lilliä käyttää yli 40 000 työntekijää strategiatyöhön, asiakastutkimukseen ja asiakirjanalyysiin, ja se tuottaa satoja tuhansia viestejä kuukaudessa.

Syöttökohta ei ollut monimutkainen. Agentti löysi julkisesti saatavilla olevan API-dokumentaation, jossa lueteltiin yli 200 päätepistettä, joista 22 vaati autentikointia. Haavoittuvuudet liittyivät riskeihin, jotka korostettiin OWASP Top 10 for LLM Applicationsissa, erityisesti altistuneiden rajapintojen, epäturvallisten integraatioiden ja liiallisen luottamuksen yhteydessä oleviin järjestelmiin.

Toisessa näistä päätepisteistä oli SQL-injektiivuus, joka piili JSON-kenttien nimissä eikä syötteen arvoissa, missä useimmat automaattiset skannausohjelmat etsivät. Siitä agentti toisti sokeaa SQL-injektiota, kunnes tuotantotiedot tulivat saataville.

Mitä se sai käyttöönsä: kymmeniä miljoonia chat-viestejä selkokielisessä muodossa, satoja tuhansia tiedostoja, kymmeniä tuhansia käyttäjätiliä ja miljoonia RAG-dokumentin paloja, jotka edustivat vuosia omistettua tutkimusta. Se tunnisti myös järjestelmän ohjeistukset, jotka määräsivät, miten Lilli toimi jokaiselle käyttäjälle.

Eniten hälyttävä löydös ei ollut määrä. Se oli se, että järjestelmän ohjeistukset olivat muokattavissa. Hyökkääjä olisi voinut hiljaisesti uudelleenkirjoittaa ohjeistuksia, jotka määräsivät Lillin tulosteen, myrkyttää strategista neuvontaa, upottaa luottamuksellista tietoa vastauksiin tai poistaa esteitä kokonaan yhden tietokantapäivityksen avulla. Ei käyttöönottoa. Ei koodin muutosta. Ei jälkeä sovelluksen lokitiedoissa.

Julkisessa lausunnossa McKinsey totesi, että se korjasi ongelman muutamassa tunnissa ja kolmannen osapuolen forensictutkimuksen jälkeen ei löytynyt todisteita siitä, että asiakkaan luottamuksellisia tietoja oli käyty. Tämä vastaus on merkittävä. Mutta se ei muuta rakenteellista opetusta: useita kymmenien vuosien vanha haavoittuvuusluokka paljasti modernin tekoälyjärjestelmän toimintamuistin, koska taustalla olevat tiedot olivat lukukelpoisessa muodossa.

Orkestraatiokerroksen epäonnistuminen: LiteLLM-hyökkäys

Kolme viikkoa myöhemmin sama malli ilmestyi toisesta näkökulmasta ja toisen kerroksen kautta.

LiteLLM on avoimen lähdekoodin tekoälyportti, jota tuhannet yritykset käyttävät reitittääkseen pyynnöt tekoälypalvelujen yli. Sen asema pinossa on kriittinen: se sijaitsee orkestraatiokerroksessa ja pitää API-avaimia kaikille yhteydessä oleville palveluille. Mikä tahansa kompromissi tässä kerroksessa altistaa tunnistetiedot jokaiselle integroidulle palvelulle.

PyPI:n väliraportin mukaan uhka-aktöörit TeamPCP hyödynsivät LiteLLM:n CI/CD-pipelineen liittyviä tunnistetietoja ja käyttivät ylläpitäjän pääsyä julkaisemaan kaksi takaisinmallinettua versiota LiteLLM-paketteja suoraan PyPI:hin. Virheelliset versiot olivat saatavilla vähemmän kuin tunnin ajan, kunnes ne poistettiin. Operaatio havaittiin vasta, koska malware sisälsi bugin, joka kaatoi tutkijan koneen.

Toimitusketju oli vektori. Orkestraatiokerros oli kohde. Yhden riippuvuuden kompromissi ylävirrassa antoi hyökkääjille pääsyn kerrokseen, jossa jokaisen alivirtausyrityksen tarjoajien avaimet asuivat.

LiteLLM-tiimi kertoi myöhemmin tapahtumasta ja lieventämispyrkimyksistä julkisessa GitHub-ilmoituksessa.

Räjähdysalue tuli näkyviin lähes välittömästi. TechCrunch, Fortune ja The Register raportoivat, että Mercor, 10 miljardin dollarin tekoälyrekrytointiin erikoistunut startup, joka työskentelee yritysten kanssa, kuten OpenAI, Anthropic, Meta ja Google, oli yksi vaikuttuneista organisaatioista. Hyökkääjät väittivät saaneensa haltuunsa suuria määriä tietoja, mukaan lukien ehdokasprofiileja, henkilökohtaisia tunnistetietoja, alihankkijoiden videohaastatteluja, lähdekoodia ja API-avaimia. Meta keskeytti työn Mercorin kanssa tutkinnan odottamiseen. Myöhempi raportointi osoitti samanlaisia malware-kuvioita muiden kehittäjätyökalujen ja pakettien ilmestyessä, mikä viittaa siihen, että operaatio saattaa olla laajempi kuin yksittäinen projekti.

LiteLLM-tapaus ei ollut poikkeus. Se oli järjestelmä, joka toimi suunnitellusti. Jokainen komponentti tekoälyputkessa vaatii pääsyä käytettävissä oleviin tietoihin toimiakseen, mikä tarkoittaa, että jokainen komponentti on myös potentiaalinen tiedon poistopiste. Riippuvuuksien kiinnittäminen ja tunnistetietojen kierto ovat välttämättömiä vastauksia, mutta ne koskevat tapausta, ei arkkitehtuuria.

Laitteistokerroksen epäonnistuminen: TEE.fail

Jos McKinsey-rikko ehdotti, että sovelluskerros ei voida luottaa, ja LiteLLM-hyökkäys osoitti, että toimitusketju ei voida luottaa, TEE.fail-tutkimus osoitti, että laitteisto, joka on tarkoitus korvata molemmat, ei voida myöskään täysin luottaa.

28. lokakuuta 2025 tutkijat Georgia Techistä, Purdue Universitysta ja Synkhronixista julkaisivat TEE.failin, sivukanavan hyökkäyksen, joka poisti kryptografiset avaimet luotettavista suoritintiloihin (Trusted Execution Environments) fyysisen muistiväylän interposicion avulla DDR5-palvelimilla. Hyökkäys vaikuttaa Intel SGX:ään, Intel TDX:ään ja AMD SEV-SNP:hen, myös täysin korjattuina, luotettavilla järjestelmillä, joissa on AMD:n Ciphertext Hiding -ominaisuus käytössä. Nämä ovat tekniikoita, joita yleisesti markkinoidaan salattujen laskelmien perustaksi.

Tutkijat poistivat todennusavaimet: kryptografisen aineiston, jota käytetään verkkopalvelujen todentamiseen. Nämä avaimet antavat mahdollisuuden esittää itsensä luotettavina, vaikka ne toimisivat odotettujen suojausten ulottumattomissa. Tutkijat osoittivat tämän suoraan: he väärensivät TDX-todennuksia Ethereum BuilderNetissä saadakseen pääsyn salattuihin transaktiotietoihin ja väärensivät Intelin ja NVIDIA:n todennuksia suorittaakseen laskelmia TEE:n ulkopuolella vaikuttaen legitiimeiltä.

NVIDIA-vaikutus on merkittävä tekoälylle erityisesti. Koska GPU-todennus riippuu CPU-todennuksesta, rikkoontunut CPU-luottamuksellinen ketju voi heikentää salattujen tekoälylaskelmien ympäristöjen antamia takeita. Laitteiston perusta salattujen tekoälylaskelmien suojalle on ehdollinen, ja se riippuu CPU-TEE:stä, joka on osoitettu murrattavaksi.

Laitteiston valmistajat vastasivat virallisilla ohjeilla. AMD totesi, että fyysisiin hyökkäyksiin ei sisälly standardin mukaiseen uhkamalliin, ja ilmoitti, ettei julkaise firmware-päivityksiä. Intel ja NVIDIA tunnustivat löydökset ja ilmoittivat jatkavansa lieventämispyrkimyksiään. Nämä vastaukset ovat kohtuullisia heidän uhkamalleissaan. Ne korostavat kuitenkin tärkeää rajaa: laitteistopohjaisen turvallisuuden takeet riippuvat oletuksista, mukaan lukien fyysinen hallinta, joita suvereenit, säännellyt ja vihollisille alttiit käyttööt tarjoavat eivät aina voi tehdä.

TEE.fail ei tee laitteiston eristystä merkityksettömäksi. Se osoittaa, että se on ehdollinen.

Käyttöjärjestelmäkerroksen epäonnistuminen: Mythos-paljastus

Jos ensimmäiset kolme tapausta asettivat kyseenalaiseksi sovelluskerroksen, orkestraatiokerroksen ja laitteiston, neljäs paljastus huhtikuussa 2026 asetti kyseenalaiseksi kerroksen, joka on kaikkien muiden alla: käyttöjärjestelmät ja ydin kirjastot, joilla kaikki muut kerrokset toimivat.

7. huhtikuuta 2026 Anthropic julkaisi Claude Mythos Preview -esittelyn, eturintamalla olevan mallin, jonka se kieltäytyi julkaisemasta julkisesti sen hyökkäyssuojauksen vuoksi, ja samalla käynnisti Project Glasswingin, konsortion, johon kuuluvat AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA ja Palo Alto Networks. Anthropic ilmoitti, että Mythos oli itsestään löytänyt muutamassa viikossa tuhannet aiemmin tuntemattomat haavoittuvuudet suurissa käyttöjärjestelmissä ja verkkoselaimissa ja pystyi tuottamaan toimivia hyökkäyksiä useille niistä.

Erittäin tärkeät löydökset ovat vaikeampia torjua kuin yhteenveto antaa ymmärtää. 27-vuotias vika OpenBSD:ssä. 17-vuotias etäkoodin suoritusvirhe FreeBSD:n NFS-palvelimessa, joka nyt seurataan CVE-2026-4747:na, joka antaa pääsyn juuritilille ilman todennusta. 16-vuotias haavoittuvuus FFmpegissä, yhdessä laajimmin käytetyistä mediateknologioista internetissä. Eräässä tapauksessa Anthropicin insinööri, jolla ei ollut virallista turvallisuuskoulutusta, pyysi mallilta etsimään etäkoodin suoritusvirheitä yhdessä yössä ja heräsi työkaluun, joka toimi täydellisesti.

Nämä ovat käyttöjärjestelmätasoisia löydöksiä. OpenBSD ja FreeBSD ovat ytimiä. NFS on ydinkokoonpanon verkkopalvelu. FFmpeg on järjestelmäkirjasto, joka toimitetaan useimpien Linux-jakeluiden kanssa ja muodostaa median putkistot internetissä. Käyttöjärjestelmäkerros oletettiin turvalliseksi, koska syvien virheiden löytäminen siitä vaati harvinaista ja kallista ihmiskokemusta. Tämä oletus oli paras saatavilla oleva heuristiikka. Se ei ollut takeita.

Tämä rajoitus on nyt hellittänyt. Anthropic itse kuvaili tämän kaksinkertaisen muutoksen: samat kyvyt, jotka mahdollistavat eturintamalla olevan mallin löytää ja korjata haavoittuvuuksia laajasti, antavat myös mahdollisuuden löytää ja hyödyntää niitä laajasti, jos ne joutuvat väärään käsiin. Anthropicin päätös rajoittaa pääsyä Project Glasswingin kautta heijastaa tätä todellisuutta. Se ei ratkaise sitä. Samanlaiset kyvyt, Anthropicin arvion mukaan, tulevat leviämään. Legacy-koodin tarkastelun kustannukset ovat romahduttaneet, ja niiden kanssa oletus siitä, että tällainen koodi on liian epäselvää, liian vanhaa tai liian laajasti tarkasteltua sisältämään kriittisiä virheitä.

Tässä neljä tapausta yhdistyvät. Kolme ensimmäistä tapausta kuvaavat, miten tekoälyjärjestelmiä rikotaan tänään. Mythos kuvaa nopeutta, jolla kaikki niiden alla olevat käyttöjärjestelmät, ydinmoduulit ja järjestelmäkirjastot tullaan uudelleenarvioimaan koneiden toimesta.

McKinsey-rikko hyödynsi yli kaksi vuosikymmentä vanhan SQL-injektioluokan, jota mallit Mythos-luokassa ovat osoittautuneet pystyviksi löytämään teollisuuden mittakaavassa.

Malli

Jokaisessa tapauksessa tiedot olivat selkokielisessä muodossa silloin, kun se oli tärkeää.

Sovelluskerros käytti niitä selkokielisessä muodossa. Orkestraatiokerros ohjasi niitä selkokielisessä muodossa. Laitteistokerros, vaikka sen suojauksilla, edellytti lopulta salaamattoman muodon suorittamiseen. Käyttöjärjestelmäkerros, joka toimi kaikkien näiden alla, toimi niiden kanssa selkokielisessä muodossa määritelmän mukaan. Neljä kerrosta, neljä epäonnistumista, ja jokaisessa kerroksessa sama ehto oli voimassa: kun rikkoontuminen tapahtui, tiedot olivat lukukelpoisia.

Tämä ei ole erillisten epäonnistumisten kokoelma. Se on arkkitehtuuri itsessään.

Modernit tekoälyjärjestelmät on suunniteltu toimimaan lukukelpoisten tiedon kanssa. Jokainen kerros, mukaan lukien hakeminen, reititys, laskenta ja työkalujen suorittaminen, edellyttää salaamattoman pääsyn toimimiseksi. Tämä suunnittelupäätös tarkoittaa, että mikä tahansa rikkoontuminen missä tahansa kerroksessa altistaa taustalla olevat tiedot.

Kysymys ei ole siinä, kumpi kerros menee rikki. Se on, mitä hyökkääjä löytää, kun se menee rikki.

Assumed Breachista Zero Exposureiin

Ala on jo alkanut siirtyä “estä rikkomuksia” -ajattelusta “oletetaan rikkomus” -ajatteluun. Mutta useimmat arkkitehtuureja eivät ole seuranneet tämän johtopäätöksen mukaisia implikaatioita.

Jos rikkomus on väistämätön, todellinen kysymys ei ole, miten pitäisi pitää hyökkääjiä ulkona. Se on, mitä tapahtuu, kun he pääsevät sisään. Tällä hetkellä vastaus on yksinkertainen: he saavat tiedot. Koska vaikka turvallisuusinfrastruktuuriin on panostettu paljon, tiedot ovat edelleen alttiina juuri silloin, kun niitä käytetään.

Alan vastaus on ollut ennustettavissa: enemmän valvontaa, nopeampaa havaitsemista, lisää salattua laskentaa. Nämä ovat parannuksia. Ne eivät kuitenkaan ratkaise perusongelmaa. Ne olettavat edelleen, että jokin kerros – joko ohjelmisto, laitteisto tai toimintaa – voidaan luottaa salaamaan lukukelpoiset tiedot.

Vaihtoehto on poistaa lukukelpoiset tiedot kokonaan. Ei suojausta kerroksia, jotka ympäröivät tiedot, vaan tehdä itse tiedot käyttäjiltä lukukelvottomiksi. Laskenta salattujen tiedon kanssa, jossa pyynnöt, mallipainot ja tulosteen säilytetään salattuina koko putken ajan, osoittaa altistumisen, jonka nämä tapaukset hyödynsivät.

Edistysaskelit täysin homomorfisessa salauksessa ja muissa yksityisyyttä suojaavissa laskentamenetelmissä ovat tekemässä arkkitehtuureja, jotka vähentävät tai poistavat lukukelpoisen altistumisen, yhä käytännöllisemmiksi tekoälytyölle. Vaikka merkittäviä suorituskyvyn, skaalautuvuuden ja toteutushaasteita edelleen on, tavoite on perustavanlaatuisesti erilainen kuin perinteiset turvallisuusohjaimet: vähentää onnistuneen rikkomuksen arvoa eikä vain tee rikkomusta vähemmän todennäköiseksi.

Siirtymä ei ole yhdestä turvallisuustyökalusta toiseen. Se on järjestelmien suojaamisesta altistumisen vähentämiseen. Luotetusta infrastruktuurista nollaturvallisuuteen. Riskien hallinnasta itse hyökkäyspinnan vähentämiseen.

Mitä seuraa

Hard Fork -keskustelu nosti esiin kysymyksen siitä, onko kyberturvallisuus perustavanlaatuisesti väärin muotoiltu. Viime viikkojen todisteet viittaavat siihen, että vastaus on myöntävä, ainakin tekoälylle.

Vanha malli oletti, että järjestelmät voidaan turvata, rikkomukset voidaan rajoittaa ja altistuminen voidaan hallita. Uusi todellisuus on, että rikkomukset on oletettava ja altistuminen on vähennettävä. Tässä kuvatut tapaukset viittaavat siihen, että tekoälyjärjestelmien turvallisuus riippuu yhä enemmän herkillä tiedoilla olevan määrän vähentämisestä, kun valvontatoimet epäonnistuvat.

Nämä haavoittuvuudet eivät ole yksittäisessä kerroksessa. Ne ovat järjestelmällisiä. Niiden ratkaiseminen vaatii enemmän kuin vähäisiä parannuksia. Se vaatii siirtymistä järjestelmien suojaamisesta altistumisen vähentämiseen, reunamuodostuksen puolustamisesta lukukelpoisten tiedon suojaamisesta, jonka reunamuodostus oli tarkoitettu suojelemaan.

Tekoälyturvallisuus ei ole enää hyökkääjien pitämistä ulkona. Se on varmistaminen, että kun he pääsevät sisään, ja he tulevat, ei ole mitään lukukelpoista tietoa, jota he voivat löytää.

mm

Luigi Caramico, data-suojelualan veteraani, on ollut johtavana tekijänä kyberTurvallisuuden innovaatioissa yli kaksi vuosikymmentä. DataKrypton perustajana ja teknisenä johtajana Caramico on edelläkävijä uudessa aikakaudessa dataTurvallisuudessa, jossa täysin homomorfisella salausteknologialla (FHE) luvataan vallankumous siinä, miten organisaatiot suojaavat herkkää tietoa tekoälyajan alla.