தாக்குதல் AI-யில் புதிய எல்லை பாதுகாப்பு சிந்தனையை மாற்றுகிறது

IEEE Spectrum-இன் ஏப்ரல் 23 guest article-இன் முக்கியக் கூற்று தெளிவானது: Anthropic-இன் Claude Mythos Preview, மனித நிபுணர் வழிகாட்டுதல் இல்லாமல் software vulnerabilities-ஐ தானாகக் கண்டுபிடித்து, அவற்றை working exploits ஆக weaponize செய்ய முடியும். நடைமுறையில் இந்த விளக்கம் பொருந்தினால், cybersecurity ஒரு புதிய கட்டத்துக்குள் நுழைகிறது; அங்கு offensive discovery-யின் வேகமும் அளவும் பல அமைப்புகள் ஏற்றுக்கொள்ளத் தயாராக இருப்பதைவிட வேகமாக நகரலாம்.

கட்டுரையின் எழுத்தாளர்கள் Bruce Schneier மற்றும் Barath Raghavan, subtitle-இல் அதன் விளைவைக் குறுகிய வடிவில் சொல்கிறார்கள்: புதிய நிலை, தொடர்ந்து test செய்யவும் patch செய்யவும் முடியும் systems-ஐப் பரிசளிக்கிறது. இதுதான் முக்கியக் கருத்து. திறமையான exploit-building model-இன் உடனடி முக்கியத்துவம் attacks-ஐ உருவாக்குவது எளிதாகலாம் என்பதல்ல. மாறாக, இடைக்கால scanning, காலந்தோறும் updates, மற்றும் தாமதமான remediation என்ற பழைய சுழற்சி கட்டமைப்பாகவே போதாது போலத் தோன்றத் தொடங்குகிறது.

Mythos பற்றிய விவாதம் ஏன் முக்கியம் என்பதை, அதிகமான technical details இல்லாமலேயே இதன் மூலம் புரிந்துகொள்ளலாம். அடிப்படை பிரச்சினை கட்டமைப்புசார்ந்தது. தாக்குதல் திறன் மேலும் தானியங்கியானால், பாதுகாப்பு episodic ஆக இருக்க முடியாது.

Autonomy cybersecurity சமன்பாட்டை எப்படி மாற்றுகிறது

Cybersecurity நீண்ட காலமாக asymmetry பிரச்சினையைக் கொண்டே இருக்கிறது. தாக்குதலாளர்களுக்கு ஒரு பயனுள்ள திறப்பு போதும்; ஆனால் பாதுகாப்பாளர்கள் முக்கியமான அனைத்தையும் பாதுகாக்க வேண்டும். vulnerabilities-ஐ தனியாக அடையாளம் கண்டுபிடித்து அவற்றை செயல்படும் exploits-ஆக மாற்றக்கூடிய AI systems, discovery மற்றும் attack-க்கிடையிலான நேரத்தை குறைப்பதன் மூலம் அந்த asymmetry-யை மேலும் விரிவாக்கும் அபாயம் உள்ளது.

source text-இல் முக்கியமான சொற்றொடர் "without expert guidance". பல security tools ஏற்கனவே analysts-க்கு வேகமாக வேலை செய்ய உதவுகின்றன, மேலும் பல offensive workflows automation மூலம் விரைவாகும். ஆனால் மனித நிபுணத்துவத் தேவையை பொருளுள்ள வகையில் குறைக்கும் ஒரு system, யார் sophisticated work செய்ய முடியும், எவ்வளவு அடிக்கடி செய்ய முடியும் என்பதை மாற்றுகிறது. அது திறனை வெளியே தள்ளுகிறது.

இதன் பொருள் எல்லா actors-மும் உடனே மிகவும் திறமையாகிவிடுவார்கள் என்பதல்ல. operational context, target selection, access, மற்றும் follow-through இன்னும் முக்கியம். ஆனால் தொழில்நுட்ப உழைப்பின் பெரிய பகுதி இயந்திரங்களிடம் ஒப்படைக்கப்படலாம் என்பதைக் காட்டுகிறது. அது சாதாரணமாகிவிட்டால், defenders-மீது வரும் அழுத்தம் கடுமையாக உயரும்.

நடைமுறையில், vulnerability என்பது இனி ஒரு knowledgeable human கவனிக்கும் bug மட்டும் அல்ல. அது machine-ல் இயங்கக்கூடிய, அந்த குறையை test, iterate, deployable weapon ஆக மாற்றக்கூடிய system-க்கான candidate input ஆக மாறுகிறது. weakness மற்றும் weapon இடையிலான தூரம் சுருங்குகிறது.

TaxiBot on the job
More in Innovation

விமானங்கள் தரையிலான உமிழ்வைக் குறைக்க Schiphol TaxiBot-ஐ சோதிக்கிறது

Amsterdam Schiphol Airport, TaxiBot-ஐ சோதனை முறையில் பயன்படுத்துகிறது. இது ஒரு அரை-ரோபோட்டிக் tug; விமானத்தின் முக்கிய என்ஜின்களை தரையில் பயன்படுத்தாமல் பைலட்டுகள் டாக்ஸி செய்ய உதவுகிறது.

Read article

Continuous testing இனி aspiration அல்ல

Spectrum கட்டுரையிலிருந்து வெளிப்படும் மிக வலுவான வாதம்: continuous testing மற்றும் patching இனி வசதியான best practices அல்ல. அவை survival requirements ஆக மாறுகின்றன.

பல அமைப்புகள் இன்னும் security-ஐ அடுக்குகள் கொண்ட, ஆனால் இடைவிடும் செயல்பாடாகவே பார்க்கின்றன. அட்டவணைப்படி scan நடக்கிறது. அறிந்த காலஅட்டவணைக்கு ஏற்ப patch cycle நடக்கிறது. Penetration tests இடைவெளிகளில் நடத்தப்படுகின்றன. ஏதாவது வெளிப்படையாக உடைந்தால் emergency fixes நடக்கின்றன. இந்த மாதிரி ஏற்கனவே வேகமாக மாறும் அச்சுறுத்தல்களுக்கு எதிராகப் போராடிக் கொண்டிருந்தது. AI-assisted exploit generation-க்கு எதிராக அது இன்னும் போதாது போலத் தெரிகிறது.

Continuous defense இன்னும் அதிகமாகக் கோருகிறது. Systems near real time-இல் observable ஆக இருக்க வேண்டும். Patch pipelines வேகமாக நகர வேண்டும். Exposure windows குறைய வேண்டும். Engineering teams vulnerable components-க்கு தெளிவான ownership வைத்திருக்க வேண்டும், மேலும் leadership security work product delivery-யிலிருந்து தனியாக அல்ல, அதன் உட்பகுதியாக இருப்பதை ஏற்றுக்கொள்ள வேண்டும்.

இது தொழில்நுட்ப ரீதியாக மட்டுமல்ல, நிறுவன ரீதியாகவும் செலவானது. இது tighter coordination, சிறந்த tooling, மற்றும் brittle பழைய processes-க்கு குறைவான சகிப்புத்தன்மை ஆகியவற்றைத் தேவைப்படுத்துகிறது. ஆனால் மாற்று அதைவிட மோசமானது: defenders வாராந்திர அல்லது மாதாந்திர ritms-ல் செயல்பட, attackers machine speed-ல் நகர்கின்றனர்.

அழுத்தம் security teams-ஐத் தாண்டி பரவும்

அமைப்புகள் செய்யக்கூடிய ஒரு தவறு, இதை cybersecurity specialists-க்கான குறுகிய பிரச்சினை என்று கருதுவதாகும். Mythos போன்ற systems offensive capability-யின் திசையைக் காட்டினால், software development, infrastructure management, procurement, மற்றும் executive governance அனைத்தும் response-இல் இழுக்கப்படும்.

Developers upstream vulnerability உருவாகுவதை குறைக்க வேண்டும் என்ற எதிர்பார்ப்பு அதிகரிக்கும். Infrastructure teams failure-ஐ isolate செய்து remediation-ஐ வேகப்படுத்தும் architectures-க்கு தள்ளப்படுவார்கள். Procurement teams third-party software மற்றும் service dependencies-ஐ exploitability மற்றும் update responsiveness என்ற கோணத்தில் மீண்டும் மதிப்பாய்வு செய்ய வேண்டியிருக்கும். Executives delayed patching என்பது technical debt மட்டுமல்ல, exposure decision என்பதையும் புரிந்துகொள்ள வேண்டும்.

"tested and patched continuously" என்ற சொற்றொடர் இந்த விரிவான operational மாற்றத்தைக் குறிக்கிறது. Testing என்பது மேலும் அதிக tools ஓட்டுவது மட்டுமல்ல. Patching என்பது மேலும் updates பொருத்துவது மட்டுமல்ல. இரண்டும் சேர்ந்து, attack conditions தொடர்ந்து மாறும் என்பதை எதிர்பார்த்து, அதற்கு ஏற்ப செயல்முறைகளை அமைக்கும் ஒரு more adaptive institution-ஐக் குறிக்கின்றன.

US Army orders $11.2M drone kits to detect chemical, biological threats
More in Innovation

ஆர்மி ட்ரோன் சென்சார் ஆர்டர், தொலைநிலைக் கேடு கண்டறிதலுக்கான தேவை இருப்பதை காட்டுகிறது

ரசாயன மற்றும் உயிரியல் அச்சுறுத்தல்களை கண்டறிய ட்ரோன் கிட்களுக்கான $11.2 மில்லியன் மதிப்பிலான புதிய ஆர்டர், மனிதர் இல்லாத அபாய உணர்வு மீதான தொடர்ந்த ஆர்வத்தை சுட்டிக்காட்டுகிறது.

Read article

சாத்தியமான விளைவு systems-ன் கடுமையான sorting

AI exploit generation-ஐ சுலபமும் வேகமும் ஆக்கினால், அமைப்புகள் மற்றும் products இரண்டு வகைகளாகப் பிரிக்கப்படத் தொடங்கும்: தொடர்ந்து பதிலளிக்கக் கூடியவை, மற்றும் முடியாதவை. முதல் குழு incidents-ஐ இன்னும் எதிர்கொள்ளும், ஆனால் dwell time மற்றும் exposure-ஐ குறைக்கத் தயாராக இருக்கும். இரண்டாம் குழு threat generation வேகம் மற்றும் mitigation வேகம் இடையிலான அதிகரிக்கும் இடைவெளியைக் காணும்.

இந்த sorting process சந்தைகளையும் மாற்றக்கூடும். விரைவான patch cycles தெளிவாக உள்ள vendors-க்கு வாங்குபவர்கள் அதிக மதிப்பு கொடுக்கலாம். Insurers update discipline மற்றும் response maturity-க்கு அதிக கவனம் கொடுக்கலாம். Critical systems-இல் தவிர்க்கக்கூடிய exposures-க்கு regulators குறைவான பொறுமை காட்டலாம். இதற்கெல்லாம் ஒரு கடுமையான single event தேவையில்லை. AI-enabled offensive tooling அதிக சாத்தியமுடையதும், அதிக அணுகத்தக்கதுமானதாயும் மாறும்போது இது மெதுவாக உருவாகலாம்.

இந்த மாற்றம் பண்பாட்டு ரீதியாகவும் உள்ளது. பல ஆண்டுகளாக continuous delivery software features எவ்வாறு வெளியிடப்படுகின்றன என்பதை மாற்றியது. Security பல சமயங்களில் அந்த உலகின் மீது பின்னால் ஒரு அடுக்கு போல ஒட்ட முயன்றது. AI-assisted offense அந்தப் பிரிவினையின் செலவை அதிகரிக்கிறது. இப்போது security அதே operational logic-ஐ கடைப்பிடிக்க வேண்டும்: குறுகிய loops, வேகமான feedback, குறைவான நீண்ட ஆயுளுள்ள vulnerabilities.

Mythos தருணம் உண்மையில் எதைக் குறிக்கிறது

Anthropic model பற்றிய உடனடி விவாதம் இயல்பாகவே capability, safeguards, மற்றும் preview offensive practice-ஐ உண்மையில் எவ்வளவு மாற்றுகிறது என்பதையே கவனிக்கும். அந்தக் கேள்விகள் முக்கியமானவை. ஆனால் இந்த விவாதத்தின் ஆழமான மதிப்பு, பல defensive assumptions எவ்வளவு குறுகலாக இருந்துள்ளன என்பதை அது வெளிப்படுத்துவதில் உள்ளது.

ஒரு model software flaws-ஐ தானாகக் கண்டுபிடித்து weaponize செய்யக்கூடும் என்ற சாத்தியமே கூட, தலைவர்களை அசௌகரியமான கேள்விகளை கேட்கத் தள்ள வேண்டும். நாம் exploit செய்யக்கூடிய issues-ஐ கண்டறிய எவ்வளவு நேரம் எடுக்கிறோம்? அவற்றை patch செய்ய எவ்வளவு நேரம் எடுக்கிறோம்? எந்த systems-ஐ விரைவாக update செய்ய முடியாது? எந்த teams மிக ஆபத்தான exposures-க்கு பொறுப்பாளிகள்? மேலும் attacker எங்கள் approval process-ஐவிட வேகமாக iterate செய்ய முடிந்தால் என்ன நடக்கும்?

இவை இனி கோட்பாடுசார்ந்த கேள்விகள் அல்ல. offensive capability software-ஆக scale செய்யக்கூடிய உலகிற்காக ஒரு அமைப்பு உருவாக்கப்பட்டுள்ளதா என்பதைக் குறித்த operational questions இவை.

அதனால் Spectrum வாதம் பொருள் பெறுகிறது. Cybersecurity-ன் எதிர்காலம் better models அல்லது better red teams மட்டுமே நிர்ணயிக்காது. அடுத்த automation wave delay-ஐ மிகச் செலவானதாக மாற்றுவதற்கு முன், அமைப்புகள் continuous testing மற்றும் patching-ஐ உண்மையாக்க முடியுமா என்பதும் அதில் தீர்மானமாகும்.

அடுத்து கவனிக்க வேண்டியவை

  • AI நிறுவனங்கள் offensive cyber capabilities கொண்ட models-ஐ எப்படி வரையறுக்கின்றன மற்றும் வரம்பிடுகின்றன.
  • Enterprises continuous testing மற்றும் remediation workflows-இல் முதலீட்டை வேகப்படுத்துகிறதா.
  • Detection-to-patch cycles-ஐ வேகப்படுத்தும் tools-ஐ security vendors எப்படி சந்தைப்படுத்துகிறார்கள்.
  • Policy makers AI-enabled exploit generation-ஐ கடுமையான security எதிர்பார்ப்புகளுக்கான catalyst ஆகக் கருதத் தொடங்குகிறார்களா.

இந்தக் கட்டுரை IEEE Spectrum-இன் செய்தியறிக்கையை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.

US: Harbinger, Rheinmetall team up for 500-mile autonomous hybrid EV
More in Innovation

Harbinger, Rheinmetall ஹைப்ரிட் இராணுவ லாரி கருத்தை வெளியிட்டன

Harbinger மற்றும் American Rheinmetall எதிர்கால US Army தேவைகளுக்காக 500-mile autonomous hybrid military truck concept ஒன்றை வெளியிட்டதாக கூறப்படுகிறது.

Read article

Originally published on spectrum.ieee.org