Новости Финансы, энергетика, оборонка — под крышей ИИ. Дональд Трамп запускает новую систему кибербезопасности США

NewsMaker

I'm just a script
Премиум
28,353
46
8 Ноя 2022
Новая система США определит приоритетные угрозы для финансовой и государственной инфраструктуры.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:1200/675;margin-bottom:2rem;overflow:hidden">
f9txugpck2h3z9we7bnqxa2y1cg72f9m.jpg

<div itemprop="articleBody">Белый дом запустил GOLD EAGLE, централизованную систему для поиска и устранения уязвимостей с помощью искусственного интеллекта. Новая технология способна находить ошибки быстрее прежних средств, но теперь властям и разработчикам предстоит решить другую проблему: успеют ли специалисты проверить поток находок и выпустить исправления до того, как уязвимости используют злоумышленники.

GOLD EAGLE объединит федеральные ведомства, разработчиков открытого программного обеспечения и компании, управляющие критически важными объектами. Участники будут передавать в систему сведения об обнаруженных проблемах, совместно проверять результаты, оценивать угрозу и определять очерёдность исправлений.

В работе участвуют Белый дом, Министерство финансов США, Министерство внутренней безопасности, Агентство по кибербезопасности и защите инфраструктуры и Министерство войны. Инициатива появилась после указа Дональда Трампа от 2 июня 2026 года, посвящённого развитию и защите передовых систем искусственного интеллекта.

Белый дом называет GOLD EAGLE единым координационным центром. Система должна сократить повторные проверки, которые разные организации проводят независимо друг от друга, подтвердить возможность эксплуатации найденных ошибок и направить разработчикам сведения о наиболее опасных проблемах. Приоритет получат уязвимости в государственных сетях, финансовой системе и критической инфраструктуре.

Появление GOLD EAGLE совпало с быстрым ростом возможностей искусственного интеллекта в поиске ошибок. Одним из наиболее заметных примеров стала закрытая модель Mythos компании Anthropic, созданная для анализа программного кода. Доступ к ней ограничили из-за опасений, что модель сможет ускорить поиск критических уязвимостей не только для защитников, но и для государственных хакерских группировок. Американские власти позднее смягчили ограничения после того, как появились дополнительные меры защиты.

Искусственный интеллект меняет не только скорость поиска. Защитники и злоумышленники могут применять схожие средства, чтобы анализировать программы, автоматизировать операции и корректировать действия по ходу кампании. Поэтому одной оценки технической опасности становится недостаточно. Специалистам приходится разбираться, кто выполняет подозрительные действия, с какой целью и можно ли доверять активности автоматизированной системы.

Главным ограничением GOLD EAGLE может стать не поиск, а обработка находок. Даже после того как специалисты обнаружат возможную ошибку, им нужно подтвердить её существование, проверить возможность эксплуатации, связаться с разработчиком, подготовить исправление, испытать его и согласовать публикацию. Искусственный интеллект способен резко увеличить число сообщений, тогда как команды разработчиков и специалистов по безопасности не могут столь же быстро расширить свои возможности. Такой разрыв грозит создать очередь из уязвимостей, которые уже известны, но ещё не устранены. Подобный риск называют одним из главных последствий того, что модели для анализа кода внедряют массово – именно поэтому эксплойты для свежих уязвимостей теперь появляются гораздо быстрее.

GOLD EAGLE опирается на действующие правила согласованного раскрытия уязвимостей. Одновременно с запуском инициативы Агентство по кибербезопасности и защите инфраструктуры, Агентство национальной безопасности США, японский центр JPCERT/CC и национальные центры кибербезопасности Великобритании и Нидерландов выпустили совместное руководство для разработчиков и поставщиков сетевых услуг. Документ объясняет, как принимать сообщения от независимых специалистов, проверять находки, выпускать исправления и присваивать уязвимостям номера CVE.

Авторы рекомендуют создать отдельный канал для таких обращений и подтверждать получение сообщения в течение двух или трёх рабочих дней. Разработчикам советуют регулярно сообщать автору находки о ходе проверки, а при серьёзной угрозе откладывать выпуск новых функций ради срочного исправления. Готовое обновление желательно передать специалисту, обнаружившему проблему, чтобы тот подтвердил, что ошибка действительно устранена.

Руководство также предлагает защищать добросовестных специалистов от судебного преследования, не навязывать безусловный запрет на разглашение и не скрывать исправленные ошибки в примечаниях к обновлениям. Публичное уведомление должно содержать затронутые версии, последствия, признаки эксплуатации, способы временной защиты и сведения о готовом исправлении.

Организации без собственной команды смогут обращаться к посредникам, включая национальные центры реагирования на компьютерные инциденты. Такие структуры могут принять сообщение, проверить находку, присвоить номер CVE и согласовать публикацию между несколькими разработчиками. Подобный механизм особенно нужен для сложных случаев, затрагивающих промышленное оборудование, медицинские устройства, интернет вещей и распространённые программные компоненты.

GOLD EAGLE уже принимает и распределяет по степени риска сведения из разных отраслей. Белый дом пока не назвал компании и разработчиков моделей, участвующих в проекте, а также не объяснил, кто будет принимать окончательные решения о приоритете находок. Неясно и то, какую часть работы поручат искусственному интеллекту, а какую сохранят за специалистами. От ответа на такие вопросы зависит, станет ли GOLD EAGLE ускорителем исправлений или лишь увеличит очередь проблем, которые защитники не успевают обработать.
 
Источник новости
www.securitylab.ru

Похожие темы