NHSイングランドは、AIモデルによるハッキングの可能性を懸念し、これまで公開していたソフトウェアを非公開にする措置をとった。この決定は、税金で開発されたコードのオープンソース化を推進してきた従来の政策を覆すものとなる。セキュリティ専門家からは、この決定は不要かつ逆効果であるとの批判が上がっている。
NHSイングランドは、すべてのソースコードリポジトリをデフォルトで非公開にすることを求める新たなガイダンスを発表した。この方針により、既存および将来のソフトウェアは、公的なアクセス許可が明示されない限り、非公開とすることが義務付けられる。職員は5月11日までにコードを非公開にする必要がある。これまでこれらのコードは、税金で開発されているという理由からGitHubなどのプラットフォームで公開され、NHSのサービス基準に従って他の組織が再利用することで重複作業を回避していた。ガイダンスでは、Anthropicの「Mythos」モデルをはじめとするAIの急速な進歩がその引き金であるとしている。先月、Mythosがソフトウェアの脆弱性を発見し、ハッカーがシステムを悪用する可能性が指摘されたことで注目を集めた。文書では、公開リポジトリはAIが分析および悪用可能なコードの詳細を漏洩させるリスクを実質的に高めると警告している。「公開リポジトリは、特にAIモデル(Mythosモデルなど)の急速な発展を考慮すると、ソースコードが意図せず開示されるリスクを大幅に高める」と指摘されている。このデフォルト非公開の姿勢は、影響が評価されるまで維持される予定である。しかし、英国政府が支援するAI安全性研究所(AISI)は、Mythosが攻撃可能なのは防御の弱い小規模システムに限られており、安全なソフトウェアやネットワークに脅威を与えるものではないと判断している。元英国公務員で公開データアクセスの専門家であるテレンス・エデン氏は、この政策を論理的ではないと批判した。「Mythosがリポジトリをスキャンしてバグを見つける可能性はあるか? はい、100%可能性はある。それがNHSの現行サービスでセキュリティ問題を引き起こすようなバグになるか? ほぼ間違いなくならない」とエデン氏は語った。同氏は、オープンソースコードはコミュニティによる精査があるためより安全であり、NHSのコードはすでに何年も公開されており多数のバックアップが存在すると指摘した。「今になって閉鎖するのは、馬が逃げた後に厩舎の扉に鍵をかけるようなものだ」と付け加えた。NHSイングランドの広報担当者は、「AIモデルの急速な発展による影響を評価する間、サイバーセキュリティをさらに強化するために、NHSイングランドの一部のソースコードへのアクセスを一時的に制限している。明確な必要性がある場合には、今後もソースコードの公開を継続する」と説明している。
