Новата политика поставя сигурността над прозрачността – поне временно
NHS England нареди на своите разработващи екипи да направят кодовите си хранилища частни по подразбиране до 11 май 2026 г., като част от преглед на киберрисковете, свързани с напреднали модели на изкуствен интелект. Решението бележи рязък завой от досегашната практика за активно публикуване на софтуер като отворен код.
Според вътрешни указания, всички хранилища вече не трябва да бъдат публични, освен при изрична необходимост и одобрение от инженерния борд. Екипите разполагат с кратък срок за съответствие, а исканията за изключения трябва да бъдат подадени предварително.
ИИ като нов фактор в киберриска
Мотивът зад решението е пряко свързан с развитието на ново поколение модели, способни да анализират и извличат информация от огромни обеми код. Сред посочените примери е Mythos – модел, който илюстрира опасенията около автоматизирано разбиране и експлоатация на софтуерни уязвимости.
Според позицията на NHS, публичните хранилища могат да разкрият чувствителни технически детайли, които в комбинация с подобни ИИ инструменти биха увеличили риска от атаки. Затова ограничението се представя като временна мярка за укрепване на киберсигурността, докато се оценява реалното въздействие на тези технологии.
Сблъсък с философията на отворения код
Решението обаче среща сериозна критика от общността на open-source разработчиците. Според експерти, подобен ход е непропорционален и подкопава доказани практики.
Теренс Идън, бивш съветник към NHSX, подчертава, че повечето публични хранилища съдържат нискорисков код – като вътрешни инструменти, интерфейси и набори от данни. По думите му, няма реални доказателства, че те биха довели до сериозен инцидент.
Той дава и конкретен пример: публикуването на кода на приложението за проследяване на COVID-19 по време на пандемията не е довело до нито един значим пробив в сигурността. Това според него показва, че прозрачността и сигурността не са взаимно изключващи се.
Open-source като защитен механизъм
Критиците изтъкват, че отвореният код действа като своеобразна „имунна система“ за софтуера. Публичността налага по-високи стандарти, стимулира независими проверки и ускорява откриването на уязвимости.
В тази връзка организацията Keep Things Open публикува отворено писмо срещу мярката, което бързо събира подкрепа. В него се подчертава, че:
- разработването на отворен код изисква по-строги процеси и контрол
- прозрачността води до по-бързо откриване и отстраняване на слабости
- ограничаването на достъпа може да намали реалната сигурност вместо да я повиши
Реалистична мярка или закъсняла реакция?
Критиците поставят и по-дълбок въпрос: ако ИИ моделите вече са достатъчно напреднали, дали подобни мерки не идват твърде късно?
Аргументът е ясен – ако системи като Mythos действително могат да индексират и анализират публичен код в мащаб, то скриването на хранилищата на по-късен етап няма да елиминира риска, а само ще ограничи ползите от отвореното сътрудничество.
Баланс между сигурност и иновации
Случаят с NHS England отразява по-широка тенденция – нарастващо напрежение между сигурността и откритостта в ерата на ИИ. Организациите са изправени пред нов тип заплахи, при които автоматизацията и мащабът на атаките променят правилата.
В този контекст ключовият въпрос не е дали кодът да бъде публичен или частен, а как да се управлява рискът, без да се жертва иновацията и колективната защита, която open-source моделът предоставя.
