L'alleanza dei Cinque Occhi avverte che le minacce informatiche dell'IA di frontiera sono a 'mesi' di distanza

      L'alleanza di intelligence Five Eyes ha emesso un avviso congiunto secondo cui la prossima generazione di intelligenza artificiale è pronta a potenziare l'hacking offensivo e che la finestra per prepararsi a questo si sta chiudendo rapidamente. In una dichiarazione coordinata, le agenzie degli Stati Uniti, del Regno Unito, del Canada, dell'Australia e della Nuova Zelanda hanno affermato che era necessaria un'azione urgente e hanno posto un termine sorprendentemente breve sulla minaccia. “I modelli di AI di frontiera si prevede supereranno le attuali aspettative del settore, trasformando fondamentalmente sia le capacità informatiche offensive che difensive,” recitava la dichiarazione. “La tempistica non è di anni, ma di mesi.” Le agenzie hanno continuato a mettere in guardia che i modelli di AI in grado di causare seri danni informatici sono a loro volta “a soli mesi” dalla disponibilità pubblica, una compressione dell'orizzonte di rischio governativo abituale in qualcosa di vicino al presente. Gran parte di ciò che l'alleanza ha segnalato è la macchina poco glamour di come le organizzazioni vengono violate. Il 💜 della tecnologia dell'UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia dal nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! La dichiarazione ha messo in evidenza i sistemi legacy, i cicli di patching lenti, la connettività internet non necessaria, i controlli di identità e accesso deboli e la mancanza di pianificazione pre-incidente come le debolezze che un'AI più capace sarà rapida a trovare e sfruttare. Nessuno di questi è un problema nuovo; l'argomento è che l'AI industrializzerà lo sfruttamento di essi, riducendo il tempo tra la scoperta di una vulnerabilità e il raggiungimento da parte di un attaccante da settimane a qualcosa di molto più breve. Una falla che una volta richiedeva a un team umano esperto giorni per essere trasformata in un'arma, suggeriscono le agenzie, potrebbe presto essere trasformata in un exploit funzionante da un modello in una frazione di quel tempo. Il fatto che gran parte dei consigli sottostanti sia familiare era, in un certo senso, il punto. La maggior parte della dichiarazione ha ribadito le norme fondamentali di igiene informatica, patchare rapidamente, non mettere i sistemi online a meno che non sia necessario, limitare chi può accedere a cosa, il tipo di indicazioni che i difensori hanno sentito per anni. Le agenzie hanno anche esortato i difensori a utilizzare la stessa tecnologia contro il problema, invitando le organizzazioni a usare l'AI “per rafforzare la difesa,” ad esempio trovando debolezze prima o rispondendo più rapidamente agli incidenti. Quella cornice rispecchia un anno in cui la linea tra strumento di attacco e di difesa è diventata sottile: i ricercatori di Google hanno utilizzato un sistema di AI per scoprire un exploit zero-day attivo, e Anthropic ha documentato modelli che possono scoprire gravi vulnerabilità software di quel tipo che tengono svegli le banche. L'avviso arriva in mezzo a una corsa più ampia per organizzare le difese prima che il divario di capacità si allarghi. Governi e fornitori hanno firmato partnership informatiche transfrontaliere, e l'uso criminale dell'AI è già visibile ai margini, con i ricercatori che tracciano furti di criptovalute assistiti dall'AI attribuiti a operatori nordcoreani. La dichiarazione dei Five Eyes comunica effettivamente al resto del campo che gli stessi strumenti stanno per diventare ampiamente disponibili. L'alleanza stava suonando una sirena insolitamente forte mentre riportava le organizzazioni verso la disciplina di base, un riconoscimento che la maggior parte dei danni continua a fluire attraverso porte lasciate sbloccate. Ciò che la dichiarazione non ha incluso è una scadenza fissa o qualsiasi meccanismo normativo, lasciando la risposta alle singole organizzazioni e agenzie nazionali. Né ha nominato laboratori o modelli di AI particolari, mantenendo l'avviso generale piuttosto che isolare un qualsiasi sviluppatore. Per i difensori, il takeaway pratico è scomodo nella sua semplicità: il consiglio non è cambiato, ma il tempo per agire su di esso, secondo il calcolo dell'alleanza, è ora misurato in mesi piuttosto che in anni.