Numa rara declaração conjunta, a aliança de inteligência 5 Eyes – Estados Unidos, Austrália, Reino Unido, Canadá e Nova Zelândia – alertou na segunda-feira que as ameaças à segurança cibernética representadas por modelos avançados de IA estão a aproximar-se de um ponto crítico.
“Como líderes das agências de segurança cibernética 5 Eyes, estamos unidos em nosso apelo à ação: o cenário em evolução da inteligência synthetic (IA) está transformando rapidamente o risco cibernético e devemos agir rapidamente para permanecer à frente”, disse a aliança em uma declaração conjunta assinada pelos chefes de inteligência de todos os cinco países, incluindo David Imbordino dos Estados Unidos, que lidera a diretoria de segurança cibernética da Agência de Segurança Nacional, e Nick Andersen, que é o diretor interino da Agência de Segurança Cibernética e de Infraestrutura (CISA). “O cronograma não é de anos, é de meses.”
Na carta, os líderes afirmam que os desenvolvimentos na IA têm acelerado a “velocidade, escala e sofisticação das ameaças cibernéticas”, reduzindo as barreiras para os malfeitores e diminuindo a janela entre a descoberta de uma vulnerabilidade de software program e a sua exploração.
“O risco cibernético não pode mais ser tratado como uma questão puramente técnica. Este é um risco comercial central e uma responsabilidade de liderança”, disse o carta lê. “Ocorrerão violações. A preparação ajuda a contê-las rapidamente e a evitar a escalada para grandes crises operacionais e financeiras.”
Para ajudar a enfrentar os riscos, os Cinco Olhos apelam aos líderes para que limitem o acesso desnecessário ao sistema e a conectividade externa, evitem atrasos na correção de vulnerabilidades, dando prioridade às atualizações de segurança, testem planos de resposta a potenciais violações, reforcem a autenticação de identidade e limitem o acesso dos utilizadores a sistemas críticos. O grupo também instou os líderes das organizações a integrarem a IA nas suas operações de segurança.
“As organizações que integram ferramentas de IA nas suas operações de segurança podem detectar vulnerabilidades mais cedo, melhorar a qualidade do software program, monitorizar comportamentos incomuns e responder mais rapidamente aos incidentes – reduzindo tanto o custo como o impacto dos incidentes”, escreveu o grupo.
A declaração surge num momento tenso para a segurança cibernética. No início deste ano, a Anthropic anunciou um novo modelo de IA chamado Mythos, que, segundo ela, period tão assustadoramente bom para quebrar vulnerabilidades de software program que o acesso só poderia ser concedido a organizações e governos selecionados. Imediatamente após a implantação limitada de seu novo modelo assustador e supostamente destruidor de privacidade pela Anthropic, a OpenAI apresentou um modelo próprio com premissas semelhantes.
De acordo com relatos das poucas organizações que obtiveram acesso, o modelo Mythos é capaz de ignorar o da Apple sistema operacional notoriamente difícil de decifrar e assumir completamente o controle de um sistema corporativo em seis em cada 10 tentativas.
Depois de anunciar que havia iniciado seu tão esperado processo de IPO, a Anthropic primeiro expandiu o acesso ao modelo Mythos antes de lançar uma versão supostamente mais segura ao público, chamada Claude Fable 5. Esse modelo não durou muito antes que a administração Trump interviesse e forçasse a Anthropic a suspender o acesso de cidadãos estrangeiros ao Fable 5 e ao Mythos, citando preocupações de segurança nacional. A proibição incluía todos os estrangeiros que morassem dentro ou fora dos Estados Unidos, incluindo os próprios funcionários da empresa. Para garantir conformidadeAntrópico desativou o acesso a ambos os modelos para todos os usuários.
O impacto previsto destes modelos de IA da próxima geração está rapidamente a tornar-se um importante tópico de discussão na política world. Na semana passada, chefes de empresas de IA como a Anthropic Dário Amodei, Sam Altman da OpenAI e Demis Hassabis do Google DeepMind estiveram presentes no cimeira anual do G7, sentando-se à mesma mesa que os líderes de alguns dos governos mais poderosos do mundo para discutir, entre outras coisas, os riscos cibernéticos dos seus modelos.
Embora os novos modelos de IA continuem a exercer pressão sobre as agências de segurança cibernética em todo o mundo, os Estados Unidos enfrentam outra crise própria. Pouco depois de o presidente Trump assumir o cargo em janeiro de 2025, a principal agência de segurança cibernética do país, a CISA, perdeu um terço de sua força de trabalho às demissões iniciadas pela administração.
Embora Trump tenha sido semi-responsável pela criação da agência em 2018, durante o seu primeiro mandato, desde então ele se voltou contra ela depois que as autoridades se recusaram a apoiar suas alegações de fraude eleitoral nas eleições presidenciais de 2020, que ele perdeu para o ex-presidente Joe Biden. Em seu segundo mandato, Trump proposto mais de US$ 250 milhões em cortes orçamentários para a organização.
No mês passado, a agência também esteve envolvida num incidente de segurança cibernética bastante embaraçoso, no qual o jornalista investigativo Brian Krebs descobriu que a CISA havia deixado informações como nomes de usuário e senhas em texto simples para sistemas internos no GitHub, possivelmente por cerca de seis meses.
Com os modelos de IA a avançar rapidamente e os próprios governos a admitirem que estão a revelar-se um risco para a segurança cibernética, será interessante ver como a CISA, paralisada pelos ataques da administração Trump, responderá a estas ameaças. Até agora, as coisas não parecem particularmente boas, especialmente se considerarmos um relatório recente de que a agência acaba de obter acesso whole ao modelo há apenas duas semanas.
