பாதுகாப்பு ஏஐ முன்னேறுகிறது, ஆனால் அணுகல் சமமல்ல
சக்திவாய்ந்த செயற்கை நுண்ணறிவு கருவிகள் தோன்றுவது சைபர் பாதுகாப்பை ஒரே நேரத்தில் இரண்டு திசைகளில் மாற்றுகிறது. தாக்குதலாளர்கள் மாதிரிகளைப் பயன்படுத்தி பாதிப்புகளை கண்டறிந்து அவற்றை முன்பை விட வேகமாக பயன்படுத்துகின்றனர்; அதே நேரத்தில், முக்கிய நிறுவனங்கள் மற்றும் அமைப்புகளின் ஒரு சிறிய குழு பெரிய அளவில் பலவீனங்களை அடையாளம் காணக்கூடிய மேம்பட்ட பாதுகாப்பு அமைப்புகளுக்கு அணுகல் பெறுகிறது. Rest of World செய்தித் தொகுப்பின்படி, இதன் விளைவு வளமிக்க நிறுவனங்கள் அதிக எதிர்ப்பு திறன் பெறும் நிலையில், அவர்களைச் சுற்றியுள்ள அனைவரும் அதிக வெளிப்பாட்டுக்கு உள்ளாகும் வகையில் விரியும் உலகளாவிய சைபர் பாதுகாப்பு இடைவெளியாகும்.
இந்த கட்டுரை Anthropic-ன் Mythos Preview மீது கவனம் செலுத்துகிறது; அந்த கருவி முக்கிய இயக்க முறைமைகள் மற்றும் இணைய உலாவிகளில் ஆயிரக்கணக்கான பாதிப்புகளை கண்டறிந்ததாக நிறுவனம் தெரிவித்தது. இந்த கருவியின் ஆரம்ப அணுகல் சுமார் 40 தொழில்நுட்ப நிறுவனங்களுக்கும் அமைப்புகளுக்கும் வழங்கப்பட்டது. ஆனால் அந்த அணுகல் பெரும்பாலான அரசுகளுக்கும் மத்திய வங்கிகளுக்கும் விரிவுபடுத்தப்படவில்லை; இதனால் பல பொது துறை மற்றும் குறைந்த வளமுள்ள நிறுவனங்கள் முக்கிய அமைப்புகளை பாதுகாக்க சில பெரிய ஏஐ நிறுவனங்களையே சார்ந்திருக்க வேண்டியுள்ளது.
அபாய சூழல் வேகமடைவதால் இந்த அசமத்துவம் முக்கியமானதாகிறது. CrowdStrike தரவுகளை மேற்கோள் காட்டும் Rest of World, ஏஐ-இயக்கப்பட்ட அமைப்புகள் 2025-ல் முந்தைய ஆண்டுடன் ஒப்பிடுகையில் தாக்குதல்களை 89% அதிகரித்ததாக தெரிவிக்கிறது. ஒரு குறையை கண்டறிதல் மற்றும் அதைப் பயன்படுத்துதல் இடையிலான ஏற்கெனவே கடினமான காலத்தை சுருக்கி, ஏஐ அமைப்புகள் கண்டறிந்த சில மணி நேரங்களுக்குள் மென்பொருள் பாதிப்புகளை ஆயுதமாக்க முடியும் என்று அந்த கட்டுரை வாதிடுகிறது.
இந்த இடைவெளி எவ்வாறு அமைப்பு ரீதியானதாக மாறலாம்
சைபர் பாதுகாப்பு நீண்ட காலமாக சமமற்ற விதத்தில் பகிரப்பட்டிருக்கிறது. செல்வாக்கு மிக்க நிறுவனங்கள் ஆழமான தொழில்நுட்ப அணிகளை நியமிக்கலாம், விலையுயர்ந்த கருவிகளை வாங்கலாம் மற்றும் மேம்பட்ட சம்பவ பதில் திறன்களை பராமரிக்கலாம். சிறிய நிறுவனங்கள், உள்ளூர் அமைப்புகள் மற்றும் வளர்ந்து வரும் நாடுகள் பெரும்பாலும் அதைச் செய்ய முடியாது. ஏஐ யுகத்தில் மாறுவது வேகம். இயந்திரம் இயக்கும் தாக்குதல் கருவிகள் மனித அணிகளைக் காட்டிலும் மிக வேகமாக ஸ்கேன் செய்து, தழுவி, சுரண்டல் பாதைகளை உருவாக்க முடிந்தால், ஏற்கனவே குறைந்த பணியாளர் பலத்துடனும் பழைய அமைப்புகளுடனும் இயங்கும் நிறுவனங்கள் இன்னும் பெரிய பின்னடைவைச் சந்திக்கும்.
மூல உரை மேலும் ஒரு அழுத்தப் புள்ளியை சுட்டிக்காட்டுகிறது: தொழிலாளர் பற்றாக்குறை. உலகளாவிய அளவில் சைபர் பாதுகாப்பு நிபுணர்களின் கடும் பற்றாக்குறை உள்ளதால், தலைவர்கள் அச்சுறுத்தலை புரிந்துகொண்டாலும், அதை சமாளிக்க போதுமான அனுபவமிக்கோர் இருக்காமல் இருக்கலாம். கோட்பாடாக ஏஐ அந்த இடைவெளியை நிரப்ப உதவலாம்; ஆனால் அதற்கு வலுவான பாதுகாப்பு கருவிகள் பரவலாக கிடைக்கக்கூடியதாகவும், மலிவானதாகவும், அவை தேவைப்படும் சூழல்களில் செயல்படுத்தக்கூடியதாகவும் இருக்க வேண்டும்.
அறிக்கையில் வர்ணிக்கப்படும் உலகம் அப்படியில்லை. அதற்கு மாறாக, மிகச் சிறந்த பாதுகாப்புகள் உயர்தர நிறுவனங்களுக்கும் தேர்ந்தெடுக்கப்பட்ட கூட்டாளிகளுக்கும் மட்டுமே திரண்டுள்ளன போலத் தெரிகிறது. பரவலாக பயன்படுத்தப்படும் வணிக மென்பொருள் விரைவாகப் புதுப்பிக்கப்படும் போது, மேலும் தனிப்பயனாக்கப்பட்ட அல்லது சுயாட்சி சார்ந்த அமைப்புகள் பின்தங்கினால், அந்த இடைவெளி செல்வந்தர்கள் மற்றும் ஏழை நிறுவனங்களுக்கிடையேயானதாக மட்டும் இருக்காது. அது முக்கிய அமெரிக்க தொழில்நுட்ப நிறுவனங்களுடன் நேரடி தொடர்புள்ள மென்பொருள் சூழல்கள் மற்றும் அவை இல்லாத சூழல்களுக்கிடையேயும் இருக்கும்.
தாக்குதல் தானியக்கம் திறன் அடித்தளத்தை குறைக்கிறது
இந்த மாற்றத்தின் பண்பாட்டு மற்றும் அரசியல் முக்கியத்துவம் நிறுவன தகவல் தொழில்நுட்பத்தைத் தாண்டுகிறது. ஏஐ கருவிகள் குற்றவாளிகள் குறைந்த முயற்சியிலேயே ஃபிஷிங் மின்னஞ்சல்கள், டீப்ஃபேக் வீடியோக்கள், குரல் நகல்கள் மற்றும் மால்வேர் உருவாக்க உதவலாம். அவை பாதிப்புக்குள்ள இலக்குகளை அடையாளம் காணவும், சுரண்டல் பணிப்பாய்வுகளை உருவாக்கவும் உதவலாம். நடைமுறையில், ஏஐ சேதம் விளைவிக்க தேவையான நிபுணத்துவ அளவை குறைக்க முடியும்.
இந்த இயக்கம் சைபர் குற்றம் அல்லது குழப்பப் பிரச்சாரங்களில் பங்கேற்கும் நடிகர்களின் வரம்பை விரிவாக்குகிறது. Rest of World அறிக்கையில், வடகொரிய ஹேக்கர் குழு ஒன்று OpenAI மற்றும் Cursor-இன் ஏஐ கருவிகளைப் பயன்படுத்தி, மாதங்கள் நீடித்த ஒரு நடவடிக்கையில் கிரிப்டோகரன்சியில் 12 மில்லியன் டாலர் வரை திருடியதாக கூறப்படும் ஒரு உதாரணம் இடம்பெறுகிறது. இப்படியான கருவிகள் நேரடியாக கோடிங், உளவு சேகரிப்பு அல்லது சமூக பொறியியலுக்கு பயன்படுத்தப்பட்டாலும், முறை ஒன்றுதான்: அதிக திறன் குறைந்த செலவில் அதிக தாக்குதலாளர்களுக்கு கிடைக்கிறது.
பாதுகாப்பாளர்களுக்கு இது சமநிலையற்ற கணக்காகிறது. ஒரு மருத்துவமனை, உள்ளூர் வங்கி அல்லது பிராந்திய பயன்பாட்டு நிறுவனம் ஒவ்வொரு முக்கிய அமைப்பையும், விற்பனையாளர் பாதையையும், பணியாளர் வேலைப்பாய்வையும் பாதுகாக்க வேண்டியிருக்கும். மாறாக, ஒரு தாக்குதலாளருக்கு ஒரே ஒரு பயனுள்ள திறப்பு போதுமானது. குறைந்த வளமுள்ள அணிகள் மூடுவதற்கு முன்பே ஏஐ அதிகமான திறப்புகளை சோதிக்க முடிந்தால், அந்த பொருந்தாமை மேலும் பெருகும்.
எவரும் நீண்ட நேரம் தனிமைப்படுத்தப்பட்டிருப்பதில்லை
அறிக்கையின் வலுவான கருத்துகளில் ஒன்று சைபர் ஆபத்து உள்ளூராகச் சீராக நிலைத்திருக்காது என்பதாகும். சிறிய நிறுவனங்களும் குறைவாக பாதுகாக்கப்படும் நாடுகளும் உலக பொருளாதாரத்தை இணைக்கும் அதே நிதி, தொடர்பு மற்றும் மென்பொருள் வலைப்பின்னல்களின் பகுதிகளே. ஒரு நாட்டில் அல்லது துறையில் உள்ள பலவீன இணைப்பு, விற்பனையாளர்கள், கட்டண அமைப்புகள், கூட்டாளர் வலைப்பின்னல்கள் அல்லது அடிப்படை கட்டமைப்பு சார்புகள் வழியாக மற்றவர்களுக்குள் நுழைய ஒரு பாதையாக மாறலாம்.
அதாவது, சில மட்டமான அமைப்புகளின் கைகளில் பாதுகாப்பு ஏஐ திரண்டு இருப்பது தனிப்பட்ட லாபங்களை உருவாக்கலாம்; ஆனால் பெரிய அளவில் பொது பாதுகாப்பை வழங்காது. மிகச் சிறப்பாக பாதுகாக்கப்பட்ட பன்னாட்டு நிறுவனங்கள்கூட வழங்குநர்கள், வாடிக்கையாளர்கள் மற்றும் குறைபாடுகளை கண்டறிந்து புதுப்பிக்க மெதுவாக இருக்கும் அரசு அமைப்புகளின் வெளிப்பாட்டுக்கு உள்ளாகியே இருக்கும். அந்த அர்த்தத்தில், பாதுகாப்பு ஏஐ-க்கு சமமற்ற அணுகல் என்பது நீதி பற்றிய பிரச்சினை மட்டும் அல்ல. அது கூட்டு பாதுகாப்பு பற்றிய பிரச்சினையும் ஆகும்.
“சைபர் பாதுகாப்பு ஒருபோதும் தனித்த பிரச்சினை அல்ல” என்று கூறும் பார்வையாளர்களை இந்த கட்டுரை மேற்கோள் காட்டுகிறது, மேலும் அந்த தர்க்கம் பொருந்துகிறது. அமைப்பின் ஒரு பகுதி மிகவும் பின்தங்கினால், முழு அமைப்பையும் நம்புவது கடினமாகிறது.
முன்னுள்ள கொள்கை சவால்
மூலப் பொருள் விரிவான ஒழுங்குமுறை வரைபடத்தை வழங்கவில்லை; ஆனால் ஒரு மையக் கொள்கை சிக்கலை அது சுட்டிக்காட்டுகிறது. முன்னணி பாதுகாப்பு மாதிரிகளை உருவாக்கும் நிறுவனங்கள் அணுகலை கட்டுப்படுத்த நியாயமான காரணங்களைக் கொண்டிருக்கலாம்; அதே கருவிகள் தாக்குதல் பணிக்காக தவறாகப் பயன்படுத்தப்படலாம் என்ற கவலையும் அதில் அடங்கும். ஆனால் கடுமையான கட்டுப்பாடுகள் தாக்குதல் தானியக்கம் மலிவாகவும் வேகமாகவும் மாறும் தருணத்தில், பரந்த உலகை வெளிப்பாட்டுக்கு உட்படுத்தலாம்.
இந்த பதற்றம் சைபர் பாதுகாப்பில் ஏஐ ஆட்சி முறையின் அடுத்த கட்டத்தை வடிவமைக்க வாய்ப்புள்ளது. அரசாங்கங்கள் பொதுநல அணுகல் ஏற்பாடுகள், பாதுகாப்பான மதிப்பீட்டு கட்டமைப்புகள் அல்லது உயர்ஆபத்து கருவிகளை வெறுமனே திறந்துவிடாமல் பாதுகாப்பு வரம்பை விரிவாக்கும் கூட்டாண்மைகளை முன்னெடுக்கலாம். இதற்கிடையில், குறைந்த வளமுள்ள அமைப்புகள் நடைமுறைப் பொருத்தத்தைக் கவனிக்க வேண்டியிருக்கும்: தாக்குதல் மேற்பரப்பை குறைத்தல், விரைவாகப் புதுப்பித்தல், அமைப்புகளை பிரித்தல் மற்றும் மற்ற பக்கத்தில் ஏஐ இடம்பெறும் சம்பவங்களுக்கு தயாராக இருப்பது.
ஆழமான பண்பாட்டு மாற்றம் ஏற்கெனவே தெரிகிறது. சைபர் பாதுகாப்பு இனி மனித எதிரிகளிடமிருந்து மென்பொருளை பயன்படுத்தி வலைப்பின்னல்களைப் பாதுகாப்பது மட்டும் அல்ல. அது சிறந்த எதிரிகளை உருவாக்க உதவும் மென்பொருளிலிருந்து நிறுவனங்களைப் பாதுகாப்பது பற்றியும் மேலும் அதிகமாகிறது. சிறந்த பாதுகாப்பு ஏஐ-க்கு அணுகல் குறுகலாகவே இருந்தால், வேகம் பிடிக்கக்கூடியவர்களுக்கும் முடியாதவர்களுக்கும் இடையிலான இடைவெளி டிஜிட்டல் சமத்துவமின்மையின் அடுத்த காலத்தை வரையறுக்கலாம்.
இந்த கட்டுரை Rest of World செய்தித் தொகுப்பை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.