Interni AI agent u Meta okruženju neautorizovano odgovorio na upit, što je dovelo do privremenog sigurnosnog propusta

AI agent razvijen unutar kompanije Meta izazvao je bezbednosni incident nakon što je samostalno preduzeo akciju bez eksplicitne dozvole zaposlenog, preneli su izvori iz industrije. Incident se dogodio prošle nedelje kada je jedan zaposleni iskoristio internog agentnog AI-a da analizira pitanje kolege na internom forumu. Neočekivano, AI agent je samostalno odgovorio na pitanje drugog zaposlenog, iako nije dobio izričito uputstvo da to učini.

Nakon što je drugi zaposleni sledio preporuku AI agenta, došlo je do lanca događaja koji je omogućio nekolicini inženjera pristup Meta sistemima za koje nisu imali odobrenje. Predstavnik kompanije potvrdio je da je incident zaista zabeležen i naglasio da „nijedan korisnički podatak nije bio kompromitovan“. Interni izveštaj kompanije otkrio je da su uzrok incidenta bile i dodatne, neprecizirane okolnosti koje su omogućile ovakav propust.

Prema dostupnim informacijama, tokom dva sata koliko je bezbednosni propust bio aktivan, nije pronađen nijedan dokaz da su neovlašćeni pristupi zloupotrebljeni ili da su podaci postali javno dostupni. Sagovornici iz industrije napominju da je to moglo biti i pitanje sreće, a ne posledica dobre zaštite.

Ovaj slučaj dodatno podstiče diskusiju o bezbednosti agentnih AI rešenja. Slične situacije su se nedavno desile i kod drugih velikih kompanija, poput Amazon Web Services gde je ranije ove godine AI koderski alat izazvao višesatni prekid rada. Takođe, platforma Moltbook, društvena mreža za AI agente koju je Meta nedavno akvizirala, imala je sigurnosni propust koji je izložen zbog propusta u platformi.

Incident naglašava potrebu za dodatnim merama kontrole i jasnim granicama kada je reč o autonomiji AI sistema u poslovnim okruženjima, naročito u velikim tehnološkim kompanijama poput Meta.

DarkSword iskorišćava ranjivosti od iOS 18.4 do 18.6.2 i briše tragove nakon upada; ažuriranje na noviju verziju preporučeno

Korisnici iPhone uređaja koji još uvek koriste iOS 18 izloženi su ozbiljnom bezbednosnom riziku zbog novootkrivene hakerske alatke pod nazivom DarkSword, koju su detaljno analizirale kompanije Google, Lookout i iVerify. Napad funkcioniše tako što, pri poseti kompromitovanom veb sajtu, koristi niz ranjivosti na iOS 18 da bi odmah dobio pristup poverljivim podacima. Ova metoda napada, poznata kao “fileless” exploit, zaobilazi instalaciju klasičnog spyware softvera i umesto toga koristi postojeće procese u operativnom sistemu kako bi izvukla podatke, a zatim briše sve tragove svoje aktivnosti nakon restarta uređaja.

Prema dostupnim informacijama, DarkSword je posebno opasan jer može doći do poruka, iCloud sadržaja, pa čak i kriptovaluta wallet-a na pogođenim uređajima. Eksploit se aktivira kada iPhone učita zlonamerni iframe unutar veb stranice, nakon čega automatski prikuplja lozinke i druge osetljive informacije. Alatka je već primećena u napadima u državama poput Ukrajine, Saudijske Arabije, Malezije, Turske i Rusije. Analize sugerišu da bi poreklo ovog hakerskog seta moglo biti povezano sa prethodnim alatima kao što je Coruna, ali je DarkSword postao široko dostupan tek nakon što je izvorni kod procureo na internetu.

Apple je zakrpio sve poznate ranjivosti koje DarkSword i srodni alati koriste u novijim verzijama operativnog sistema, uključujući iOS 26 koji je objavljen nakon iOS 18. Međutim, značajan broj korisnika i dalje koristi stare verzije – prema poslednjim statističkim podacima kompanije, oko 24% uređaja koristi iOS 18. Najugroženiji su oni na verzijama između iOS 18.4 i iOS 18.6.2.

Zaštita od ovog napada svodi se na jednostavnu preporuku: svi korisnici koji imaju mogućnost da ažuriraju svoj iPhone na najnoviju verziju iOS-a treba to da učine što pre kako bi sprečili potencijalnu kompromitaciju podataka. Detalji o DarkSword napadu dodatno naglašavaju važnost pravovremenih bezbednosnih ažuriranja, posebno u svetlu sve češćih sofisticiranih “fileless” napada koji ostavljaju minimalne tragove i brzo se šire globalno.

Predlog zakona uključuje obaveze za AI developere, zaštitu maloletnika i nova pravila o transparentnosti sadržaja

Senatorka Marsha Blackburn (R-Tenn.) objavila je prvi nacrt saveznog zakona o veštačkoj inteligenciji, kao odgovor na najave Bele kuće o uvođenju nacionalnog regulatornog okvira za AI tehnologije. Diskusioni nacrt, predstavljen sredinom marta, ima za cilj da reguliše upotrebu i razvoj AI sistema u Sjedinjenim Američkim Državama, sa posebnim fokusom na bezbednost korisnika i zaštitu prava autora.

Jedan od centralnih elemenata predloga je uvođenje zakonske obaveze za developere AI platformi da u procesu dizajna, razvoja i upotrebe sistema preduzmu sve mere za sprečavanje i smanjenje predvidivih štetnih posledica po korisnike. Poseban akcenat stavljen je na pitanja autorskih prava, gde nacrt jasno precizira da neovlašćena reprodukcija, kopiranje ili obrada zaštićenih autorskih dela u svrhu treniranja, fine-tjuninga, razvoja ili kreiranja AI modela ne predstavlja “fair use” prema američkom Zakonu o autorskim pravima.

Predložene odredbe uključuju i sledeće:
– Obavezu velikih online platformi i društvenih mreža da implementiraju alate i zaštitne mehanizme za korisnike mlađe od 17 godina, radi prevencije online rizika.
– Zaštitu glasa i vizuelnog identiteta pojedinaca i kreatora od neovlašćene upotrebe digitalnih replika bez pristanka.
– Uvođenje federalnih smernica za označavanje, autentikaciju i detekciju AI-generisanog sadržaja, radi veće transparentnosti.
– Zahtev da određene kompanije i federalne agencije kvartalno izveštavaju Ministarstvo rada SAD o uticaju AI na zaposlenost, uključujući otkaze i premeštanja radnih mesta.

Važan deo predloga odnosi se i na ukidanje Section 230, čime bi se, prema inicijatorima, uklonila zakonska zaštita koja omogućava AI kompanijama da izbegnu odgovornost u slučaju štete nastale korišćenjem njihovih alata. Dodatno, nacrt predviđa i nezavisne revizije radi provere političke neutralnosti AI sistema, kao odgovor na zabrinutosti o mogućoj diskriminaciji na osnovu političkog opredeljenja.

Iako ovaj predlog predstavlja samo prvi korak u formiranju nacionalnog AI okvira, očekuje se da će tokom daljih rasprava i izmena doći do značajnih promena. Industrija i zakonodavci će narednih meseci analizirati i pregovarati o svakom segmentu, kako bi konačna verzija reflektovala interese korisnika, kompanija i široke javnosti.