Notizie di settore

Perché il governo sta usando il suo più grande rischio per la sicurezza per riparare le sue più grandi falle di sicurezza

La CISA sta utilizzando l'IA Mythos di Anthropic per scansionare il codice governativo alla ricerca di bug, nonostante i recenti attriti della startup con la Casa Bianca e il Pentagono.
Perché il governo sta usando il suo più grande rischio per la sicurezza per riparare le sue più grandi falle di sicurezza

Mentre la narrativa pubblica spesso inquadra l'intelligenza artificiale come un semplice strumento per scrivere email o generare immagini, la realtà è molto più industriale. La Cybersecurity and Infrastructure Security Agency, nota come CISA, sta attualmente utilizzando un potente modello di IA di Anthropic per scansionare i software governativi alla ricerca di bug. Questa mossa rappresenta una netta rottura rispetto alla recente storia di tensioni tra la startup di San Francisco e i regolatori federali. Solo pochi mesi fa, il Pentagono ha etichettato Anthropic come un rischio per la catena di approvvigionamento, una mossa che essenzialmente equiparava l'azienda a entità straniere sospettate di spionaggio. Oggi, quella stessa azienda è la spina dorsale invisibile dello sforzo per proteggere il codice federale dalle spie straniere.

Guardando al quadro generale, questa adozione dimostra che il governo valorizza la capacità rispetto ai disaccordi politici. La CISA sta utilizzando un modello di IA specifico chiamato Mythos per controllare i repository di codice in vari dipartimenti. Questi repository sono magazzini digitali dove il governo conserva il software che gestisce tutto, dall'elaborazione delle tasse alla logistica. Mythos agisce come un instancabile stagista che legge milioni di righe di codice in pochi secondi, cercando i piccoli errori che un programmatore umano potrebbe trascurare dopo un lungo turno. Questi errori sono le finestre aperte che i criminali informatici e le agenzie di intelligence straniere utilizzano per ottenere l'accesso a dati sensibili americani.

Uno stagista instancabile per il repository del codice federale

Sotto il cofano, il processo di revisione del codice è storicamente lento e costoso. Un ricercatore di sicurezza umano può revisionare solo poche centinaia di righe di codice in un'ora con un'elevata precisione. Il governo degli Stati Uniti gestisce miliardi di righe di codice, molte delle quali scritte decenni fa in linguaggi che i programmatori moderni usano raramente. Ciò crea un enorme arretrato di potenziali vulnerabilità. Mythos cambia la matematica di questo processo perché è uno strumento dirompente progettato specificamente per l'analisi della sicurezza informatica. Non si limita a cercare refusi; comprende come i diversi pezzi di software interagiscono per creare rischi sistemici.

Secondo persone vicine alla questione, il team di Attack Surface Evaluation della CISA è il gruppo che guida questa iniziativa. Questo team esegue valutazioni della sicurezza digitale ed esercitazioni di hacking per trovare punti deboli prima che lo facciano i veri aggressori. Utilizzando Mythos, il team ha già scoperto un gran numero di vulnerabilità. Sebbene la natura specifica di questi bug non sia pubblica, la velocità della scoperta suggerisce che l'IA stia operando a un livello che i team umani non possono eguagliare. Questa efficienza è necessaria perché il volume di codice che il governo deve difendere cresce ogni giorno.

La relazione turbolenta tra Anthropic e la Casa Bianca

Anthropic ha una storia complicata con le autorità che ora assiste. L'azienda è attualmente in fase di offerta pubblica iniziale riservata, ma il suo percorso verso il mercato azionario è stato volatile. A febbraio, il rapporto tra Anthropic e la Casa Bianca ha raggiunto il punto più basso. L'azienda si è rifiutata di rimuovere le salvaguardie interne che impedivano alla sua IA di essere utilizzata per armi autonome o sorveglianza interna. Questo rifiuto ha portato il Pentagono a colpire l'azienda con una designazione formale di rischio per la catena di approvvigionamento. Si tratta di un'etichetta severa che solitamente si applica alle aziende che il governo ritiene stiano facilitando lo spionaggio straniero.

Questa straordinaria lista nera non è durata a lungo. Un giudice ha bloccato l'ordine a marzo e la tensione si è allentata dopo il rilascio privato di Mythos. Curiosamente, anche se la politica ufficiale era di sospetto, la National Security Agency stava già utilizzando il modello. Rapporti di fine giugno indicano che gli analisti della NSA hanno testato Mythos in contesti classificati e hanno trovato le sue capacità senza precedenti. L'agenzia è il principale braccio di intercettazione del governo e il suo sostegno a Mythos suggerisce che lo strumento sia altamente efficace sia nel trovare che nello sfruttare i punti deboli digitali.

La chiusura globale di Fable e il suo impatto

La situazione è diventata più complessa quando Anthropic ha rilasciato una versione pubblica di Mythos chiamata Fable. Questa versione includeva specifiche salvaguardie di sicurezza informatica destinate all'uso generale. Tuttavia, la Casa Bianca è intervenuta nuovamente chiedendo ad Anthropic di vietare a tutti gli utenti stranieri l'accesso al modello. Questa richiesta ha portato a una chiusura globale totale di Fable durata fino alla scorsa settimana. La logica del governo è che uno strumento capace di correggere i bug è anche capace di aiutare un aggressore a trovarli. Limitando l'accesso agli americani, l'amministrazione spera di mantenere questo petrolio greggio digitale entro i propri confini.

Dal punto di vista del consumatore, questo braccio di ferro evidenzia un paradosso centrale nella tecnologia moderna. Vogliamo che l'IA sia sicura e limitata, ma abbiamo anche bisogno che sia abbastanza potente da difendere i nostri sistemi più sensibili. Il governo sta essenzialmente cercando di ottenere entrambe le cose utilizzando la versione privata e senza restrizioni del modello per la propria difesa, limitando al contempo l'accesso del pubblico alla stessa tecnologia. Ciò crea un sistema a più livelli in cui gli strumenti di sicurezza più robusti sono riservati all'uso federale, lasciando il settore privato a fare affidamento su versioni più limitate.

Cosa significa questo per la sicurezza dei tuoi dati personali

Per l'utente medio, il fatto che la CISA utilizzi Mythos è un vantaggio netto per la privacy. La maggior parte delle persone non interagisce direttamente con il codice governativo, ma i loro dati sì. Il tuo numero di previdenza sociale, la cronologia fiscale e le cartelle cliniche sono tutti memorizzati nei repository che Mythos sta attualmente scansionando. Quando l'IA trova un bug in un sistema dell'IRS o del Department of Veterans Affairs, quel sistema viene patchato prima che un attore malintenzionato possa sfruttarlo. Questa è un'applicazione pratica dell'IA che ha un impatto tangibile sulla sicurezza delle tue informazioni personali.

In termini pratici, questo cambiamento indica che l'era dei controlli di sicurezza manuali sta finendo. Nei prossimi anni, è probabile che più aziende nel settore privato adottino strumenti come Mythos o Fable per proteggere le proprie reti. Ciò porterà a un'economia digitale più resiliente in cui il software è intrinsecamente più sicuro dal momento in cui viene scritto. Tuttavia, significa anche che la barriera d'ingresso per gli hacker aumenterà. Man mano che la difesa diventa automatizzata, anche gli aggressori si rivolgeranno all'IA per trovare modi ancora più sottili per aggirare le misure di sicurezza. Il risultato è una corsa agli armamenti ciclica in cui la velocità dell'IA determina il vincitore.

Cambiare la prospettiva sulla tecnologia governativa

In definitiva, l'uso di Mythos da parte della CISA è un segno che il governo è disposto a trascurare gli attriti aziendali per mettere in sicurezza le proprie infrastrutture. Il fatto che un'azienda possa passare da una lista nera a un partner principale per la sicurezza in pochi mesi mostra quanto il governo faccia affidamento sull'innovazione del settore privato. Per gli utenti, questo è un promemoria del fatto che i meccanismi invisibili di Internet sono sempre più gestiti da algoritmi piuttosto che da esseri umani. Ci stiamo muovendo verso un modello di sicurezza decentralizzato in cui il lavoro più importante avviene in background, lontano dall'interfaccia utente dei nostri dispositivi.

Mentre utilizzi i servizi governativi o le app di digital banking, osserva quanto raramente riscontri interruzioni di sistema importanti rispetto a cinque anni fa. Questa stabilità è spesso il risultato di strumenti automatizzati come quello che la CISA sta ora utilizzando. Mentre la battaglia politica sulla sicurezza dell'IA continua a Washington, la realtà tecnica è che questi strumenti sono già al lavoro. In conclusione, la tua vita digitale sta diventando più sicura perché il governo ha deciso che un'IA un tempo bandita era troppo preziosa per essere ignorata. Questo approccio pragmatico alla tecnologia è un cambiamento fondamentale nel modo in cui il paese difende i propri confini digitali.

Fonti:

  • Valutazioni interne della Cybersecurity and Infrastructure Security Agency
  • Documenti aziendali e dichiarazioni pubbliche di Anthropic
  • Rapporti di revisione tecnica della National Security Agency
  • Registri di designazione del rischio della catena di approvvigionamento del Dipartimento della Difesa
  • Sentenze dei tribunali federali riguardanti Anthropic contro il Dipartimento della Difesa
bg
bg
bg

Ci vediamo dall'altra parte.

La nostra soluzione di archiviazione e-mail crittografata end-to-end fornisce i mezzi più potenti per lo scambio sicuro dei dati, garantendo la sicurezza e la privacy dei tuoi dati.

/ Creare un account gratuito