El NHS de Inglaterra está retirando su software disponible públicamente debido a la preocupación por los modelos de IA capaces de hackear sistemas. Esta medida revierte políticas de larga data de código abierto para software financiado por los contribuyentes. Expertos en seguridad califican la decisión de innecesaria y contraproducente.
El NHS de Inglaterra ha emitido nuevas directrices que exigen que todos los repositorios de código fuente sean privados por defecto. La política exige que el software existente y el futuro se mantengan bajo llave a menos que se apruebe explícitamente su acceso público. El personal tiene como fecha límite el 11 de mayo para privatizar el código, que anteriormente se compartía abiertamente en plataformas como GitHub por haber sido creado con dinero público. Esto permite que otras organizaciones lo reutilicen y eviten duplicar esfuerzos, conforme a los estándares de servicio previos del NHS. La guía cita los rápidos avances en IA, específicamente el modelo Mythos de Anthropic, como el detonante. El mes pasado, Mythos atrajo la atención por descubrir fallos en el software, lo que podría permitir a los hackers explotar sistemas. El documento advierte que los repositorios públicos aumentan el riesgo de revelar detalles del código que la IA podría analizar y explotar. "Los repositorios públicos aumentan materialmente el riesgo de divulgación no deseada de código fuente... particularmente dados los rápidos avances en los modelos de IA... (por ejemplo, desarrollos como el modelo Mythos)", afirma. Se mantendrá una postura cerrada por defecto mientras se evalúan los impactos. Sin embargo, el Instituto de Seguridad de IA (AISI), respaldado por el gobierno del Reino Unido, descubrió que Mythos solo es capaz de atacar sistemas pequeños y débilmente defendidos, sin representar una amenaza para software o redes seguras. Terence Eden, exexperto del Servicio Civil del Reino Unido en acceso a datos públicos, criticó la política por ilógica. "¿Es posible que Mythos escanee un repositorio y encuentre un error? Sí, es 100% probable. ¿Será ese un error que cause un problema de seguridad en un servicio real del NHS en algún lugar? Casi con toda seguridad no", dijo Eden. Argumentó que el código abierto es más seguro debido al escrutinio de la comunidad y señaló que el código del NHS, ya público durante años, existe en numerosas copias de seguridad. "Cerrarlo ahora es prácticamente cerrar el establo después de que se ha escapado el caballo", añadió. Un portavoz del NHS de Inglaterra explicó: "Estamos restringiendo temporalmente el acceso a parte del código fuente del NHS de Inglaterra para fortalecer aún más la ciberseguridad mientras evaluamos el impacto de los rápidos desarrollos en los modelos de IA. Seguiremos publicando código fuente cuando exista una necesidad clara".
