Старший научный сотрудник Джорджтаунского центра безопасности и новейших технологий (CSET) Бен Бьюкенен недавно давал показания на заседании подкомитета по внутренней безопасности Палаты представителей США. Бьюкенен говорил о будущем ИБ и искусственного интеллекта. Передаем его оценку грядущих киберугроз.
Кибербезопасность, уже изобилующая проблемами, становится еще более сложной с ростом популярности систем искусственного интеллекта. В тех случаях, когда ИИ и кибербезопасность пересекаются, национальной безопасности и обществу в целом стоит уделить более пристальное внимание к потенциальным рискам. Угрозы еще можно устранить.
Первым и наиболее важным является аспект кибербезопасности самих систем искусственного интеллекта. Системы ИИ также подвержены уязвимостям программного обеспечения, которые присутствуют в некоторых видах компьютерного кода. Как мы наблюдаем на протяжении десятилетий, хакеры могут использовать эти уязвимости в своих целях. Нет никаких оснований полагать, что с системами ИИ они поступят иначе, как и не приходится мечтать, что они не добьются успеха. Эта возможность особенно беспокоит, учитывая высокие ставки некоторых приложений ИИ; это не причина избегать использования искуственного интеллекта, но, иногда, для сохранения кибербезопасности, необходимо проявить бдительность.
Архитектура нейронной сети, которая лежит в основе многих современных ИИ, является чрезвычайно мощной, но представляет новый класс рисков и угроз кибербезопасности. Мы только начинаем с ними сталкиваться. Мы называем это поле «состязательным обучением».
Используя состязательное обучение, хакеры могут заставить нейронные сети совершать странные ошибки, что приводит к сбою систем, полагающихся на эти сети, или раскрытию конфиденциальной информации. Это область, которая требует огромного внимания. Мой коллега Джейсон Матени, бывший директор IARPA и основатель Центра по безопасности и новым технологиям, считает, что только около 1% расходов на исследования ИИ идет на безопасность. Это кажется неважным. И очень зря.
Во-вторых, ИИ не может отразить традиционные наступательные кибератаки на обычные компьютерные системы. Современные хакеры во многих случаях не нуждаются в искусственном интеллекте для достижения своих целей. Тем не менее, я думаю, стоит отметить, что некоторые из наиболее мощных атак, которые мы видели, включая Stuxnet, - отключение электроэнергии в Украине в 2016 году и атаку 2017 года, известную как NotPetya, которая нанесла ущерб по меньшей мере в десять миллиардов долларов. Я могу представить себе мир, в котором кибер-операции будут использовать более сложные автоматизированные возможности для решения конкретных задач. Таких, как обнаружение уязвимостей, выбор целей, командование, управление и выполнение атак.
Я подозреваю, что такая автоматизация может предоставить умелым хакерам существенное преимущество. В некотором отношении, возможный потенциал автоматизации в этой области выше, чем в физической войне. Независимо от того, управляется самолет человеком или машиной, на него действуют законы физики, но вполне вероятно, что автоматизированные кибер-возможности, если они на достаточном уровне, смогут работать намного быстрее, чем их ориентированные на человека аналоги. Я подчеркиваю, что мы еще никогда с подобным не сталкивались.
Это приводит к третьей области анализа: вероятность того, что ИИ может помочь в киберзащите. Эта идея также является предметом большого заблуждения и венчурного инвестирования. Кажется, существуют отдельные способы, с помощью которых ИИ действительно может помочь защитить компьютерные системы, как в обнаружении уязвимостей до того, как это делают хакеры, так и в обнаружении наличия вредоносного кода. Тем не менее, мы должны быть осторожны, чтобы не дать обману обогнать реальность на этом фронте. Оценивая достижения в области кибербезопасности, мы должны сравнить их с базовыми технологиями, которые мы уже используем, и понять, как искусственный интеллект улучшает (если вообще улучшает) нашу защиту.
Эти три области: состязательное обучение, киберпреступность и киберзащита заслуживают гораздо большего внимания и, как можно скорее. В первые десятилетия эры Интернета мы мчались вперед, чтобы развернуть изменяющую мир технологию, однако, не всегда продумывая ее последствия для безопасности. В эпоху ИИ мы не должны повторить эту ошибку.