O NHS England está restringindo o acesso ao seu software disponível publicamente devido a preocupações com modelos de IA capazes de realizar ataques hackers. A medida reverte políticas de longa data de código aberto para códigos financiados pelo contribuinte. Especialistas em segurança consideram a decisão desnecessária e contraproducente.
O NHS England emitiu novas diretrizes exigindo que todos os repositórios de código-fonte sejam privados por padrão. A política exige que softwares existentes e futuros sejam mantidos em ambiente fechado, a menos que sua disponibilização pública seja explicitamente aprovada. Os funcionários têm até 11 de maio para privatizar o código, que antes era compartilhado abertamente em plataformas como o GitHub por ter sido criado com recursos públicos. Isso permitia que outras organizações o reutilizassem e evitassem a duplicação de esforços, conforme os padrões de serviço anteriores do NHS. As diretrizes citam os rápidos avanços da IA, especificamente o modelo Mythos da Anthropic, como o motivo da mudança. No mês passado, o Mythos ganhou destaque por descobrir falhas em softwares, o que poderia permitir que hackers explorassem sistemas. O documento alerta que repositórios públicos aumentam os riscos de divulgação de detalhes do código que poderiam ser analisados e explorados por IAs. "Repositórios públicos aumentam materialmente o risco de divulgação não intencional de código-fonte... especialmente devido aos rápidos avanços nos modelos de IA... (por exemplo, desenvolvimentos como o modelo Mythos)", afirma o texto. Uma postura de acesso fechado por padrão será mantida enquanto os impactos são avaliados. No entanto, o AI Security Institute (AISI), apoiado pelo governo do Reino Unido, constatou que o Mythos só é capaz de atacar sistemas pequenos e com defesas frágeis, não representando ameaça a softwares ou redes seguras. Terence Eden, ex-especialista do Serviço Civil britânico em acesso a dados públicos, criticou a política como ilógica. "É possível que o Mythos escaneie um repositório e encontre um bug? Sim, 100% provável. Esse será um bug que causará um problema de segurança em um serviço ativo do NHS em algum lugar? Quase certamente não", disse Eden. Ele argumentou que códigos de código aberto são mais seguros devido ao escrutínio da comunidade e observou que o código do NHS, já público há anos, existe em inúmeros backups. "Fechar tudo agora é praticamente trancar a porta do estábulo depois que o cavalo fugiu", acrescentou. Um porta-voz do NHS England explicou: "Estamos restringindo temporariamente o acesso a alguns códigos-fonte do NHS England para fortalecer ainda mais a cibersegurança enquanto avaliamos o impacto dos rápidos desenvolvimentos nos modelos de IA. Continuaremos a publicar código-fonte sempre que houver uma necessidade clara."
