Tehisintellekti arendava ettevõtte Anthropic algatusel kogunenud töörühm leidis selle uut tehisarumudelit Mythos kasutades avatud lähtekoodiga tarkvarast paari nädalaga tuhandeid saatuslikke tarkvaravigu. Võib vaid oletada, palju leidub nõrkusi suletud lähtekoodiga kommertstarkvaras, nendib Raadio 2 tehnoloogiakommentaaris "Portaal" Tallinna Ülikooli professor Kristjan Port.
OpenAI teatas 2019. aastal, kuidas nende tehisintellekti mudel ChatGPT-2 on sedavõrd võimas, et nad ei soovi seda avalikku kasutusse anda. Tänapäevases küünilises maailmatunnetuses võiks pidada juhtunut pidada osavaks turundusnipiks.
Tegelikkuses oli mure põhjendatud. Seni peeti natukenegi pikema teksti loojaks inimest. Uus mudel koostas võrdlemisi korralikku teksti, mis võis mõjuda inimese kirjutatuna. Muretseti, et kurjategijad tekitavad kaitseid ületava kvaliteediga rämpspostituste laine, ujutavad veebikauplused üle kunstlike tootearvustustega, loovad autoriõigustega kaitstud tekstidele uuendusi jne.
Aasta lõpuks lasti mudel siiski avalikku kasutusse. Inimesed avastasid, et see on oodatust rumalam ja teema sumbus, kuni paar aastat hiljem toodi turule suure fanfaariga tänaseni kestva tehnoloogilise-majandusliku-moraalse lainetuse algatanud ChatGPT 3.5.
Eelmisel nädalal teatas OpenAI-ga sarnase võimekusega TI-arendajate tippu kuuluv Anthropic, kuidas nüüd on neil sedavõrd võimas mudel nimega "Mythos", et nad ei soovi seda lasta avalikku kasutusse. See juhtum pole turunduslik trikk. Autoriteetsed eksperdid peavad uut mudelit erakordselt võimekaks tarkvarakoodi koostajaks. Selle lahutamatuks osaks on oskus leida kõikvõimalikke vigu. Pealtnäha on see suurepärane uudis. Hea kui maailma toimimisse lisatav tarkvara on töökindlam ja turvalisem.
Viimasega seoses on kurb tõdeda, et maailmas on ka palju halbu inimesi. Nende arvukus sõltub kuritegude edukusest. Tarkvara turvaaugud on nende sissetulekuallikaks. Sellised tarkvaravead on haruldased ja raskesti leitavad. Vastasel juhul oleks neid arenduse käigus välditud. Tegu on iseäraliku kullakaevandusega, milles head pakuvad vealeidjatele preemiaid, et need kõrvaldada. Pätte motiveerib võimalus leida viise kuritegudeks.
"Mythos" oleks mõlemale poolele kasulik. Põhjus, miks seda avalikkusega ei jagata, tuleneb lihtsast ajalisest asümmeetriast, milles hävitustöö on ehitustööst põhimõtteliselt kiirem. Mythose avalikustamisel on eelis ülekaalukalt pahatahtliku osapoole käes.
Oletame, et mõlemad osapooled saavad haavatavuse olemasolust teada samaaegselt. Kahjuril piisab nõrkusest kasu lõikamisest vaid sellest, kui nad koostavad teatud koodi. TI abiga võib haavatavuse relvaks muutmisele kuluda tunde või isegi päevi. Samas on neil on ikkagi eelis, sest nad ei pea muretsema, kuidas toimib süsteem, mille mille häirimine ongi tihti kurjategijate eesmärk.
Kaitsjad seisavad seevastu silmitsi tohutu logistilise ja keerulise väljakutsega. Esmalt peavad nad viga testima, kirjutama paranduskoodi, seejärel kogu süsteemi testima, et parandus ei rikuks tarkvara muid osi ja lõpuks tuleb toimetada parandus kõikidesse arvutisüsteemidesse.
Viimaks kohtutakse tihti kõige nõrgema ja probleemsema lüliga, kui miljonid lõppkasutajad peavad värskenduse alla laadima ja oma seadmetesse paigaldama. Protsess võtab päevi, nädalaid või isegi kuid. Kaitsjad peavad turvama iga ukse ja akna, kuid ründajale piisab juba sellest, kui ta leiab ühe lukustamata akna.
Paistab, et Mythos omandas oskuse programmeerida n-ö vigadega. See pole vigane programmikood, vaid need vead käituvad strateegia elementidena. TI tuvastab üksikult vähese ohuga tehnilisi vigu, mida kombineerides on võimalik luua midagi ohtlikku. See on inimestele mitmel põhjusel hoomamatu. Esiteks polnud nad väiksemadki vigu leidnud, rääkimata nende tavatu kombinatsiooni mõistmisest. Olukord meenutab doktor House'i, kes tuvastas haigel ebatavaliste tegurite kombinatsioonis haiguse, mida ei osanud läbi näha isegi tema hästi koolitatud kolleegid.
Anthropic algatas projekti "Glasswing", milleks kutsus kokku tarkvaramaailma eksperdid ja andis neile juurdepääsu Mythosele. Töörühm testis tuntud tarkvarade vigu ja turvalisust, et jõuda kurjategijatest ette. Mõne nädalaga avastasid nad tuntud avatud lähtekoodiga tarkvaraplatvormidest rohkem vigu, kui mõni ekspert oli leidnud senise karjääri jooksul.
Avatud lähtekoodi nägevate silmapaaride kiuste olid mõned ohtlikud vead olnud koodis 27 aastat. Võime vaid oletada, et suletud lähtekoodiga kommertstarkvaras on vähemalt sama palju vigu. Tasub vaid meenutada 2024. aastal CrowdStrik'ie tarkvara vea tõttu seiskunud lennujaamu ja katkenud veebipõhiseid tarkvarateenuseid. Otsesed kahjud ulatusid sadade miljonite dollariteni.
Anthropicu olukord pole lihtne, sest ettevõtte konkureerib teiste suurte tegijatega, sealhulgas Hiina ettevõtetega, mis lisab kogu olukorrale geopoliitilisi pingeid. Tarkvaras peituvad vead moodustavad olulise osa avalikkuse eest varjatud sõjas kasutatavast modernsest relvastusest. Anthropic ei saa väga head toodet lihtsalt kinni hoida, kui teised võivad jõuda samale arengutasemele.
Olgu lõpetusena lisatud, et selle aasta esimesed umbes 100 päeva on küberkuritegude mahu ja keerukuse osas juba rekordilised. Lunavararünnakud kasvavad võrreldes selle tõrjumise katsetele tehtud pingutustest kolm korda kiiremas tempos. Ilmselt seletab halbade edu TI rakendamine halva teenistusse.
Kommentaarid
Alates 02.04.2020 kuvab ERR kommenteerija täisnime.