NHS yêu cầu chuyển hàng trăm kho lưu trữ GitHub sang chế độ riêng tư vì lo ngại về AI và bảo mật

NHS yêu cầu chuyển hàng trăm kho lưu trữ GitHub sang chế độ riêng tư vì lo ngại về AI và bảo mật

Dịch vụ Y tế Quốc gia Anh (NHS) đã chỉ đạo chuyển đổi hàng trăm dự án mã nguồn mở trên GitHub sang chế độ riêng tư trước ngày 11 tháng 5. Quyết định này được đưa ra do lo ngại về khả năng các mô hình AI tiên tiến như Mythos của Anthropic có thể khai thác lỗ hổng từ mã nguồn công khai.

NHS đảo ngược chính sách mã nguồn mở

Theo hướng dẫn nội bộ được The Register thu thập được, các kho lưu trữ GitHub của NHS phải được chuyển từ công khai sang riêng tư. Hướng dẫn nêu rõ rằng việc công khai mã nguồn làm tăng đáng kể rủi ro lộ lọt thông tin chi tiết về kiến trúc và cấu hình, đặc biệt là trước các mô hình AI có khả năng thu nạp và suy luận mã ở quy mô lớn.

"Các kho lưu trữ công khai làm tăng đáng kể rủi ro lộ lọt không mong muốn về mã nguồn, quyết định kiến trúc, chi tiết cấu hình và thông tin ngữ cảnh có thể bị khai thác – đặc biệt là xét đến sự tiến bộ nhanh chóng của các mô hình AI có khả năng thu nạp, suy luận và lập lý mã ở quy mô lớn (ví dụ: các phát triển như mô hình Mythos)."

Quyết định này đã được Hội đồng Kỹ thuật của NHS phê duyệt. Một phát ngôn viên của NHS England khẳng định đây chỉ là biện pháp tạm thời nhằm củng cố tư thế an ninh mạng trong khi tổ chức đánh giá tác động của sự phát triển nhanh chóng trong các mô hình AI.

Lo ngại về mô hình Mythos của Anthropic

Mối lo ngại chính xoay quanh Mythos, mô hình AI mới nhất của Anthropic, được cho là có khả năng nhanh chóng tìm ra các lỗ hổng mà ngay cả các nhóm kỹ thuật lành nghề có thể bỏ sót. Các cơ quan chức năng của Anh, bao gồm Viện An toàn AI và Trung tâm An ninh Mạng Quốc gia (NCSC), đã phần nào xác nhận khả năng của Mythos vượt qua chu kỳ phát triển AI dự kiến.

Tuy nhiên, nhiều người hoài nghi về sức mạnh thực sự của mô hình này. Các thử nghiệm so sánh Mythos với các mô hình mã nguồn mở cho thấy sự chênh lệch về năng lực hẹp hơn những gì Anthropic tuyên bố. Hiện tại, Mythos vẫn bị giới hạn trong dự án Project Glasswing và chỉ dành cho một số tổ chức được chọn.

Phản ứng từ giới chuyên gia

Terence Eden, cựu trưởng bộ phận công nghệ mở của NHSX, lập luận rằng việc chuyển các kho lưu trữ từ công khai sang riêng tư sẽ không tạo ra sự phòng thủ có ý nghĩa chống lại các khả năng AI tiên tiến.

"[Mã nguồn mở của mọi người] đã được thu nạp cho 'mục đích đào tạo' từ nhiều năm trước. Nếu nó thú vị một chút, thì nó đã được sao lưu bởi những người sưu tập kỹ thuật số. Việc đóng cửa ngay bây giờ không bảo vệ bạn một cách có ý nghĩa nào."

Eden cho rằng các rủi ro nghiêm trọng hơn đối với một tổ chức thường nằm trong chuỗi cung ứng phần mềm, hệ điều hành và thư viện, chứ không hẳn là các lỗi logic trong mã nguồn của họ. Ông nhấn mạnh rằng việc bảo mật các hệ thống hiện có sẽ mang lại sự bảo vệ tốt hơn nhiều so với việc vội vàng chuyển đổi sang mã nguồn kín.

Dù vậy, động thái này đánh dấu một bước lùi tạm thời nhưng đáng kể đối với chính sách lâu dài của NHS, vốn từng ủng hộ triết lý "tiền của công dân thì mã nguồn cũng thuộc về công dân".