รายงานข่าวกรองภัยคุกคามฉบับล่าสุดของ Anthropic ได้จุดประกายการถกเถียงอย่างเข้มข้นเกี่ยวกับความสมดุลระหว่างความปลอดภัย AI และเสรีภาพของผู้ใช้ บริษัทได้รายละเอียดว่า Claude AI ของพวกเขาถูกนำไปใช้ในทางที่ผิดสำหรับการโจมตีไซเบอร์ขนาดใหญ่ รวมถึงการปฏิบัติการเรียกค่าไถ่ที่ซับซ้อนซึ่งกำหนดเป้าหมายไปที่องค์กร 17 แห่งและแผนการฉ้อโกงการจ้างงานของ North Korea ในขณะที่ Anthropic นำเสนอผลการค้นพบเหล่านี้เป็นหลักฐานของมาตรการความปลอดภัยที่จำเป็น ชุมชนเทคโนโลยีกำลังต่อต้านด้วยความกังวลเกี่ยวกับการใช้อำนาจเกินขอบเขตและประสิทธิผล
รายงานการใช้ AI ในทางที่ผิดของ Anthropic
| ประเภทคดี | เป้าหมาย | วิธีการ | ผลกระทบ |
|---|---|---|---|
| การขู่เอาเงิน | 17 องค์กร (สาธารณสุข, บริการฉุกเฉิน, รัฐบาล) | โค้ด Claude สำหรับการสอดแนมและเจาะระบบเครือข่าย | การเรียกค่าไถ่สูงถึง 500,000 ดอลลาร์สหรัฐ |
| การฉ้อโกงการจ้างงาน | บริษัทเทคโนโลยี Fortune 500 ของสหรัฐฯ | การสร้างตัวตนปลอมและการประเมินทางเทคนิค | การสร้างรายได้ให้กับระบอบ North Korea |
| Ransomware-as-a-Service | ฟอรัมอาชญากรรมไซเบอร์ | มัลแวร์รูปแบบต่างๆ ที่สร้างด้วย AI | ยอดขาย 400-1,000 ดอลลาร์สหรัฐต่อแพ็กเกจ |
การเปรียบเทียบปืนอัจฉริยะแบ่งความคิดเห็น
นักพัฒนาจำนวนมากกำลังเปรียบเทียบแนวทางของ Anthropic กับแนวคิดที่ถกเถียงกันเรื่องปืนอัจฉริยะ - อาวุธที่ปฏิเสธการยิงโดยอิงตามการตัดสินใจของอัลกอริทึมเกี่ยวกับการใช้งานที่เหมาะสม นักวิจารณ์โต้แย้งว่าเช่นเดียวกับที่ปืนอัจฉริยะอาจล้มเหลวเมื่อจำเป็นต้องใช้อย่างถูกต้อง มาตรการความปลอดภัย AI อาจบล็อกการวิจัยความปลอดภัยที่ถูกต้องและการทดสอบการเจาะระบบ การเปรียบเทียบนี้เน้นคำถามพื้นฐาน: บริษัท AI ควรทำหน้าที่เป็นผู้เฝ้าประตูสำหรับวิธีการใช้เครื่องมือของพวกเขาหรือไม่?
การถกเถียงขยายไปเกินกว่าความกังวลทางเทคนิคไปสู่ความกังวลเชิงปรัชญาเกี่ยวกับว่าใครได้กำหนดการใช้งานที่เหมาะสม สมาชิกชุมชนบางคนกังวลว่าข้อจำกัดด้านความปลอดภัยไซเบอร์ในปัจจุบันอาจขยายไปถึงการบล็อกกิจกรรมอื่น ๆ ที่ถือว่าไม่พึงประสงค์โดยบริษัท AI หรือรัฐบาล
งานด้านความปลอดภัยที่ถูกต้องตามกฎหมายติดอยู่ในสายไฟ
ผู้เชี่ยวชาญด้านความปลอดภัยกำลังแสดงความหงุดหงิดที่มาตรการต่อต้านการใช้ในทางที่ผิดมักส่งผลกระทบต่องานที่ถูกต้องตามกฎหมาย นักล่าบั๊ก ผู้ทดสอบการเจาะระบบ และนักวิจัยด้านความปลอดภัยมักจำเป็นต้องสร้างโค้ดที่ดูคล้ายกับซอฟต์แวร์ที่เป็นอันตราย ความท้าทายอยู่ที่การแยกแยะระหว่างผู้เชี่ยวชาญด้านความปลอดภัยที่ทดสอบระบบของตนเองกับอาชญากรที่กำหนดเป้าหมายเหยื่อ
หากฉันเป็นผู้รับผิดชอบความปลอดภัยไซเบอร์ขององค์กร ฉันจะให้ตัวแทน AI พยายามโจมตีระบบอย่างต่อเนื่อง 24/7 และแจ้งให้ฉันทราบเกี่ยวกับการโจมตีที่สำเร็จ มันจะแย่มากหากผู้ให้บริการโมเดลหลักบล็อกการใช้งานประเภทนี้
ความกังวลนี้กำลังขับเคลื่อนความสนใจในโมเดล AI ทางเลือก โดยเฉพาะตัวเลือกโอเพนซอร์สและจากบริษัทที่มีนโยบายที่อนุญาตมากกว่า นักพัฒนาบางคนกำลังย้ายไปใช้โมเดลภาษาท้องถิ่นเพื่อหลีกเลี่ยงข้อจำกัดทั้งหมด
 |
|---|
| พื้นที่สีเทาของความปลอดภัยทางไซเบอร์: งานด้านความปลอดภัยที่ถูกต้องตามกฎหมายเผชิญความท้าทายท่ามกลางความกังวลเรื่องการใช้ AI ในทางที่ผิด |
คำถามเรื่องประสิทธิผล
การอภิปรายของชุมชนเผยให้เห็นความสงสัยเกี่ยวกับว่ามาตรการความปลอดภัยเหล่านี้ทำงานได้จริงหรือไม่ หลายคนชี้ให้เห็นว่าผู้กระทำความผิดที่มุ่งมั่นสามารถหาทางหลีกเลี่ยงข้อจำกัดได้อย่างง่ายดาย ในขณะที่ผู้ใช้ที่ถูกต้องตามกฎหมายต้องแบกรับภาระของผลบวกปลอมและคำขอที่ถูกบล็อก มาตรการเหล่านี้อาจสร้างความรู้สึกปลอดภัยที่เป็นเท็จในขณะที่ผลักดันกิจกรรมที่เป็นอันตรายไปสู่ทางเลือกที่มีการควบคุมน้อยกว่า
ชุมชนเทคนิคยังสังเกตว่าการโจมตีไซเบอร์จำนวนมากไม่จำเป็นต้องใช้ความช่วยเหลือ AI ที่ซับซ้อน ตัวอย่างเช่น แรนซัมแวร์พื้นฐานสามารถสร้างได้โดยโปรแกรมเมอร์มือใหม่หรือเพียงแค่คัดลอกจากตัวอย่างโอเพนซอร์สที่มีอยู่ สิ่งนี้ทำให้เกิดคำถามว่าข้อจำกัดเฉพาะ AI แก้ไขปัญหาที่แท้จริงหรือไม่
ลูกค้าเชิงพาณิชย์ได้รับการปฏิบัติที่แตกต่าง
สิ่งที่เพิ่มความขัดแย้งคือแนวทางแบบชั้นของ Anthropic ต่อข้อจำกัด เงื่อนไขการให้บริการสำหรับผู้บริโภคของพวกเขารวมถึงข้อจำกัดที่เข้มงวดเกี่ยวกับการใช้เชิงพาณิชย์และนโยบายเนื้อหาที่กว้างขึ้น ในขณะที่ลูกค้าองค์กรเผชิญข้อจำกัดน้อยกว่า สิ่งนี้ทำให้บางคนมองว่ามาตรการความปลอดภัยเป็นเรื่องของการแบ่งส่วนตลาดมากกว่าความกังวลด้านความปลอดภัยที่แท้จริง
สตาร์ทอัพขนาดเล็กและนักพัฒนารายบุคคลรู้สึกติดอยู่ตรงกลาง จ่ายราคาผู้บริโภคแต่ต้องการความยืดหยุ่นระดับเชิงพาณิชย์สำหรับวัตถุประสงค์ทางธุรกิจที่ถูกต้องตามกฎหมาย
ระดับราคาและข้อจำกัดของ Anthropic
| ประเภทแผน | ราคา | การใช้งานเชิงพาณิชย์ | ข้อจำกัดเนื้อหา |
|---|---|---|---|
| ผู้บริโภค ( Claude Pro ) | $100 USD/เดือน | จำกัด/ห้ามใช้ | นโยบายเนื้อหาที่เข้มงวด มีการอ้างสิทธิ์ความเป็นเจ้าของผลงาน |
| องค์กร | ~$500 USD/เดือน (5 เท่าของผู้บริโภค) | อนุญาต | ข้อจำกัดน้อยกว่า |
| การประเมิน | ฟรี/จำกัด | ห้ามใช้ | ใช้ส่วนบุคคลและไม่ใช่เชิงพาณิชย์เท่านั้น |
ผลกระทบที่กว้างขึ้น
การอภิปรายสะท้อนความตึงเครียดที่ลึกซึ้งยิ่งขึ้นเกี่ยวกับการกำกับดูแลและการควบคุม AI เมื่อเครื่องมือเหล่านี้มีพลังและแพร่หลายมากขึ้น คำถามเกี่ยวกับว่าใครเป็นผู้กำหนดกฎเกณฑ์จึงมีความสำคัญมากขึ้น แนวทางปัจจุบันในการให้บริษัท AI ควบคุมตนเองผ่านเงื่อนไขการให้บริการและการกรองอัตโนมัติอาจไม่สามารถขยายขนาดได้เมื่อเทคโนโลยีก้าวหน้า
สมาชิกชุมชนบางคนเห็นสิ่งนี้เป็นการแสดงตัวอย่างของข้อจำกัดที่กว้างขึ้นที่จะมาถึง ในขณะที่คนอื่น ๆ โต้แย้งว่าการกำกับดูแลในระดับหนึ่งเป็นสิ่งจำเป็นเมื่อความสามารถ AI เติบโต ความท้าทายอยู่ที่การหาแนวทางที่แก้ไขความเสี่ยงที่แท้จริงโดยไม่ขัดขวางนวัตกรรมหรือกรณีการใช้งานที่ถูกต้องตามกฎหมาย
การถกเถียงไม่แสดงสัญญาณของการแก้ไข โดยชุมชนแบ่งออกระหว่างผู้ที่ให้ความสำคัญกับความปลอดภัยและผู้ที่เน้นเสรีภาพและประสิทธิผล เมื่อความสามารถ AI ยังคงก้าวหน้าต่อไป ความตึงเครียดเหล่านี้มีแนวโน้มที่จะทวีความรุนแรงมากกว่าลดลง