警報拉響!新加坡政府緊急發文:AI黑客時代已基本到來
新加坡: 新加坡網絡安全局(CSA)已向所有關鍵信息基礎設施(CII)所有者的董事會及高級管理層致信,要求針對AI驅動的新型威脅,全面審查其網絡安全防禦體系。
新加坡數字發展與信息部政務部長陳國文(Tan Kiat How)在周二(5月5日)的國會發言中指出,CSA的這封信明確了審查的具體要求。他在回應國會議員關於AI網絡攻擊以及組織如何加強防禦的提問時強調:
「這絕不是一個可以僅僅交給IT團隊處理的問題,」陳國委表示。
「它需要最高層領導層的關注,包括董事會成員和執行長。無論組織運行的是信息技術系統、操作技術系統,還是兩者兼有,都必須重視。首要任務是迅速夯實基礎。」
什麼是關鍵信息基礎設施(CII)?
CII是指直接參與提供基本服務的計算機系統。涉及的領域包括:能源、水務、銀行金融、醫療保健、交通、信息通信、媒體、安全與應急服務以及政府部門。
在致信中,CSA執行長David Koh指出,前沿AI的新發展「要求董事會和CEO必須介入」。
他寫道:「前沿AI的發展速度正在改變遊戲規則,現有的網絡風險管理假設——即你們設計控制措施、防禦手段和應急響應計劃的基礎——可能已不再有效。漏洞發現的速度正在變得更快、成本更低。」
審查重點:不僅僅是修補漏洞
組織的審查應重點評估:當前的風險評估是否充分考慮了AI驅動的威脅;對關鍵系統、網際網路資產、特權訪問、雲服務及第三方依賴項的可見性是否依然充足。
此外,還應考慮漏洞管理、補丁更新、監控和應急響應機制是否足夠迅速,以及對AI的使用是否符合適當的治理規範。同時,組織也應探索如何利用AI來增強現有的網絡安全運營能力。
Koh先生表示,審查結果應提交給相應的董事會或執行治理風險委員會。「一旦發現重大差距,管理層必須確保通過明確的補救計劃、明確的風險接受決策以及必要的網絡安全投資優先級調整來解決這些問題。」
他補充說,CSA將持續監測發展動態,發布進一步的技術指南,並與合作夥伴共同努力,加強新加坡的集體網絡韌性。
陳國文部長還提到,新加坡金融管理局(MAS)已召集各大金融機構的CEO討論威脅態勢,以「推動技術與網絡韌性的集體行動」。他補充道:「金融機構正以應有的嚴肅態度對待此事,並一直在加強防禦態勢。」
政府認為,AI驅動的網絡風險是現有系統性風險的放大,而非一個全新的類別。政府機構也正對AI帶來的網絡安全風險保持高度警惕。
面對Mythos:無法直接訪問,但風險已在眼前
上個月,CSA敦促新加坡企業加強網絡安全措施,理由是前沿AI模型可能帶來的風險增加。在此之前幾天,Anthropic公司在引發一波能力熱潮之際,預覽了其名為Mythos的模型。
英國AI安全研究所發現,Mythos在執行複雜網絡攻擊方面的能力,要強於OpenAI的ChatGPT或Google的Gemini等其他AI工具。
在發布Mythos時,Anthropic表示他們已經發現了數千個高嚴重性漏洞,其中涵蓋了幾乎所有主流作業系統和網絡瀏覽器。
針對國會議員Louis Chua的提問,陳國文表示,政府目前無法直接訪問Mythos。由於Anthropic僅在受控預覽下向有限的合作夥伴開放,當局並不知曉是否有本地銀行獲得了訪問權限。
「更廣泛地說,我們並不假設自己總能第一時間接觸到每一個前沿模型,」他補充道。相反,當局正與包括主要AI實驗室和網絡安全公司在內的各類合作夥伴保持密切合作,以追蹤發展動態並評估安全影響。
「我們正在與擁有Mythos訪問權限的合作夥伴合作,以更好地了解其能力和影響。」
他補充說,CSA正與相關政府機構及行業專家密切配合,交換關於威脅和緩解措施的見解。同時,政府也在審查CII所有者的標準與義務,以應對AI帶來的更快速的攻擊節奏。根據《網絡安全法》,CSA有權在必要時指示並強制執行行動。
「針對Mythos,由於無法直接訪問,我們無法自行測試模型。但我們會根據已發布的評估報告、威脅情報以及與主要AI實驗室的持續溝通來評估風險,」陳國文表示。
「如果出現了可能對國家重要系統造成重大風險的可靠證據,我們將與CII所有者合作並建議他們進行系統補丁修復和加固。這是我們迄今為止採取的方法,我們將繼續這樣做。」
陳國文最後強調,問題的核心並不在於Mythos這一個單一模型。他表示:「底層的轉變是更廣泛的,風險是真實的。我們正以應有的嚴肅態度對待這些挑戰。」
