Η απόφαση του NHS England να αποσύρει ανοιχτό λογισμικό που έχει αναπτυχθεί με χρήματα των Βρετανών φορολογουμένων, λόγω του κινδύνου που αποδίδεται σε μοντέλα τεχνητής νοημοσύνης ικανά να εντοπίζουν αδυναμίες σε λογισμικό, προκαλεί αυξανόμενες αντιδράσεις.
Τον περασμένο μήνα, το Mythos, ένα AI που δημιούργησε η εταιρεία τεχνολογίας Anthropic, παρουσιάστηκε ευρέως ως ικανό να βρίσκει τρωτά σημεία σχεδόν σε οποιοδήποτε λογισμικό, κάτι που δυνητικά θα μπορούσε να επιτρέψει σε χάκερ να εισβάλουν σε συστήματα που το χρησιμοποιούν. Το NHS England έχει πλέον ενημερώσει το προσωπικό του ότι το υπάρχον και το μελλοντικό λογισμικό πρέπει να αποσυρθεί από τη δημόσια θέα και να παραμείνει κλειστό έως τις 11 Μαΐου, εξαιτίας αυτού του κινδύνου.
Η κίνηση αυτή έρχεται σε αντίθεση με το πρότυπο υπηρεσιών του NHS, το οποίο απαιτεί από το προσωπικό να διαθέτει ανοιχτό κώδικα για κάθε λογισμικό που παράγει, ώστε τα εργαλεία να μπορούν να βασίζονται πάνω του, να βελτιώνονται και να χρησιμοποιούνται χωρίς διπλή δουλειά. Ειδικοί σημειώνουν επίσης ότι η απόσυρση του κώδικα από τη δημόσια θέα δεν θα βελτιώσει την ασφάλεια.
Στο μεταξύ, ανοιχτή επιστολή που ζητά από το NHS England να ανακαλέσει την απόφασή του συγκεντρώνει εκατοντάδες υπογραφές. Τη στιγμή που γράφονται αυτές οι γραμμές, την επιστολή έχουν υπογράψει 682 άνθρωποι, μεταξύ των οποίων ο συγγραφέας και ακτιβιστής για τα ψηφιακά δικαιώματα Cory Doctorow και ο πρώην υπουργός Υγείας του Ηνωμένου Βασιλείου Matt Hancock, ο οποίος, όταν ζητήθηκε σχόλιο από το New Scientist, παρέπεμψε σε ανάρτηση στο LinkedIn, όπου χαρακτήρισε την πολιτική «huge mistake».
«Ένα από τα πιο έξυπνα πράγματα που έχει κάνει το NHS τα τελευταία χρόνια είναι να διαθέτει τον κώδικά του ως open source. Οι φορολογούμενοι πλήρωσαν γι’ αυτό, άρα οι φορολογούμενοι πρέπει να επωφελούνται από αυτό», έγραψε ο Hancock. «Όμως το πρακτικό επιχείρημα είναι εξίσου ισχυρό: ο ανοιχτός κώδικας δοκιμάζεται πιο αυστηρά, είναι πιο ασφαλής και επιτρέπει στα καλύτερα μυαλά σε όλο τον κόσμο να χτίζουν πάνω σε αυτόν».
Ο Vlad-Stefan Harbuz από το University of Edinburgh, στο Ηνωμένο Βασίλειο, είναι συνυπογράφων της ανοιχτής επιστολής. Έχει πρόσβαση στο Mythos και συμμετείχε σε ομάδα που πρόσφατα το χρησιμοποίησε για να σαρώσει ανοιχτό κώδικα του NHS για ευπάθειες. Βρήκαν «μερικές σχετικά σοβαρές ευπάθειες», οι οποίες γνωστοποιήθηκαν υπεύθυνα στο NHS πριν από την απόφαση να αποσυρθούν τα open-source projects.
«Δεν ξέρω αν οι ευπάθειες που αναφέραμε αποτέλεσαν το έναυσμα γι’ αυτό, αλλά πιθανότατα ήταν μέρος του», λέει ο Harbuz. «Οι τακτικοί έλεγχοι ασφαλείας και τα δημόσια διαθέσιμα [μεγάλα γλωσσικά μοντέλα] μπορούν να εντοπίσουν τις ίδιες ευπάθειες που βρήκαμε. Το Mythos κάνει τα πράγματα λίγο λιγότερο χρονοβόρα. Αλλά το πραγματικό πρόβλημα είναι η συστημική υποεπένδυση στην κυβερνοασφάλεια, που υπήρχε και πριν από την ύπαρξη του Mythos».
Ο Harbuz θεωρεί ότι αντίγραφα ασφαλείας όλου του κώδικα του NHS θα εξακολουθήσουν να υπάρχουν και να χρησιμοποιούνται για την εκπαίδευση διαφόρων μοντέλων AI, όμως η απόσυρσή τους από το GitHub εμποδίζει ειδικούς που νοιάζονται για την ποιότητα και την ασφάλεια των δημόσιων υπηρεσιών να συμβάλουν. «Αυτοί που βοηθούν είναι εκείνοι που πλήττονται όταν ο κώδικας γίνεται κλειστός, όχι οι επιτιθέμενοι», λέει ο Harbuz.
Το AI Security Institute (AISI), που χρηματοδοτείται από τη βρετανική κυβέρνηση, εξέτασε το Mythos και διαπίστωσε ότι είναι ικανό να επιτίθεται μόνο σε «μικρά, ελάχιστα θωρακισμένα και ευάλωτα enterprise συστήματα», καταλήγοντας ότι δεν υπάρχει ένδειξη πως ένα πραγματικά ασφαλές δίκτυο ή ένα ασφαλές λογισμικό θα κινδύνευε.
Ο Terence Eden, με μεγάλη εμπειρία στη βρετανική δημόσια διοίκηση σε θέματα ανοίγματος της πρόσβασης σε δημόσια δεδομένα, συμφωνεί ότι η κίνηση δεν βγάζει νόημα.
«Η εμπιστοσύνη των πολιτών στο NHS εξαρτάται από το αν η υπηρεσία είναι ανοιχτή, διαφανής και ειλικρινής. Με δεδομένο πόσο πολύ η υγειονομική περίθαλψη βασίζεται σε ψηφιακά εργαλεία, αυτό σημαίνει ότι ο ανοιχτός κώδικας δεν είναι διαπραγματεύσιμος. Έχουμε δικαίωμα να βλέπουμε πώς λειτουργούν αυτά τα εργαλεία. Προτρέπω έντονα το NHS να απαντήσει θετικά στην αναφορά και να τηρήσει τις υποσχέσεις του προς την κοινότητα», λέει ο Eden.
Το βρετανικό Department of Health and Social Care δεν απάντησε σε αίτημα για σχόλιο, ενώ εκπρόσωπος του NHS England επανέλαβε την προηγούμενη δήλωση του οργανισμού: «Προσωρινά περιορίζουμε την πρόσβαση σε μέρος του πηγαίου κώδικα του NHS England για να ενισχύσουμε περαιτέρω την κυβερνοασφάλεια, ενώ αξιολογούμε τον αντίκτυπο της ταχείας εξέλιξης των μοντέλων AI. Θα συνεχίσουμε να δημοσιεύουμε πηγαίο κώδικα όπου υπάρχει σαφής ανάγκη».
