Kada je Anthropic 7. aprila objavio da njihov novi AI model Claude Mythos može samostalno da pronađe bezbjedonosne propuste u svakom velikom operativnom sistemu i odmah odlučio da ga ne pusti u javnost, priča je obišla svijet kao upozorenje na prijetnju koja dolazi.
U istom mjesecu kada je Mythos postao globalna vijest, hakeri su kompromitovali AI startap vrijedan 10 milijardi dolara i jednu od najvećih cloud platformi na svijetu, Vercel, bez ikakvog naprednog AI alata. Ulazna tačka bili su zaposleni i alati koje oni svakodnevno koriste.
Napad koji ne vidite dok ne bude kasno
Jedan zaposleni u kompaniji Vercel instalirao je dodatak za pretraživač i povezao ga sa poslovnim Google nalogom. Nije pitao šefove, nije prekršio nijedno pravilo, samo je koristio alat koji mu je olakšavao posao. Do kraja dana, virus je bio unutar internih sistema. Ukradeni podaci su se pojavili na hakerskom forumu sa cijenom od dva miliona dolara.
Tri nedjelje ranije, Mercor, AI startup vrijedan 10 milijardi dolara, napadnut je kroz potpuno drugačiji kanal: LiteLLM, besplatnu programersku komponentu koju su koristili kao i hiljade drugih kompanija. Hakeri su ubacili virus (engl. malware, zlonamjerni kod) u novu verziju LiteLLMa i objavili je na PyPI, javnom servisu odakle programeri širom svijeta preuzimaju softverske komponente.
Zaražena verzija bila je dostupna 40 minuta, dovoljno da je hiljade kompanija automatski preuzme i instalira. Rezultat: četiri terabajta ukradenih podataka i lični podaci 40.000 registrovanih korisnika na hakerskim forumima.
Prema neslužbenim informacijama iz industrije, napad je imao direktan uticaj na odnose sa velikim klijentima kao što je Meta.
Ako ne znate koje alate vaši zaposleni koriste preko poslovnih naloga, ne možete zaštititi ni sopstvene podatke. AI servisi i programerski dodaci šire se brže nego što IT timovi stižu da ih evidentiraju, i svaki novi alat koji zaposleni instalira bez znanja kompanije potencijalni je ulazni punkt za napad.
Kako se region bori sa cyber-napadima
Kompanije u Adria regionu koriste iste programerske alate kao i napadnute firme u Silicijumskoj dolini. Razlika je u tome šta se dešava poslije napada. Hrvatska i Slovenija, kao članice EU, imaju NIS2 direktivu koja kompanije obavezuje da prijave ozbiljan incident u roku od 24 sata.
Kazne za neprijavljivanje mogu dostići i do 10 miliona evra u zavisnosti od veličine kompanije i incidenta koji je zabilježen.
U ostatku regiona ta obaveza ne postoji, a prema izvještaju BIRN-a, napadi na institucije često ne budu javno prijavljeni ni kada se dogode.
Krajem aprila 2026. pojavio se i konkretan primjer iz Srbije. Dunav osiguranje našlo se na meti hakerske grupe APT73/Bashe, koja je objavila da je uspješno kompromitovala sisteme kompanije i zaprijetila objavljivanjem osjetljivih podataka ukoliko zahtjevi ne budu ispunjeni.
Detalji napada nisu zvanično potvrđeni, ali sam obrazac je poznat: ulazak kroz pristupne tačke, enkripcija sistema i pritisak kroz prijetnju curenja podataka.
Odsustvo obaveze prijavljivanja direktno utiče na poslovne odluke. Bez obaveze prijavljivanja, menadžment ne dobija signale koji bi ga natjerali da reaguje, a industrija ostaje bez podataka koji bi pokazali koliko je problem zapravo velik.
Prema analizi Kloudle, Bosna i Hercegovina je najizloženija zemlja u Evropi za cyber-napade, a odmah poslije nje je Srbija. Nisu primamljivije mete od ostalih, ali automatizovani napadi ne prave razliku između kompanije u Beogradu i Briselu.
Tri pitanja koja svaki menadžer treba da postavi sutra
Anthropic je oko svog modela Mythos okupio konzorcijum od 50 kompanija da rade na pronalaženju propusta u kritičnom softveru. To je dobar znak za globalnu bezbjednost, ali ne mijenja situaciju za kompanije u regionu.
Bez odgovora na ova pitanja, bezbjednosna strategija ostaje mrtvo slovo na papiru. Jim Zemlin, izvršni direktor fondacije Linux i partner u Glasswingu, sumirao je problem za Bloomberg: "Odlični smo u pronalaženju grešaka, ali smo užasni u njihovom ispravljanju."
Ovo je trenutno stanje u većini kompanija u regionu. Bez promjene, broj incidenata će rasti, a posljedice će biti sve skuplje.
|
Mythos, novi AI model Anthropica, pokrenuo je novi talas dilema i kontroverzi na Wall Streetu, sastancima Međunarodnog monetarnog fonda i vlada i ministarstava odbrane. Tvorci Mythosa tvrde da taj model može da skenira nepregledne nizove koda i pronalazi i eksploatiše slabe tačke unutar sistema. Lični podaci, platni i operativni sistemi lako bi mogli da se nađu na meti zloupotreba, koje bi vlade i kompanije mogle da koštaju bilione dolara. Uprkos tome, Anthropic je već odabrao nekoliko kompanija koje testiraju Mythos, a potencijalni rizici bili su i tema sastanaka najviših američkih državnih rukovodilaca. O tome može li cyber-bezbjednost da drži korak sa ovakvim tehnologijama i odakle dolazi žurba da se one uprkos svemu integrišu, za TV Bloomberg Adria govorio je Jake Bleiberg sa Bloomberga. "Trenutno se čini da Anthropic i kompanije koje koriste ovaj alat imaju prednost jer su uspjele da ga drže pod kontrolom, ali ono što svi u prostoru AI i cyber bezbjednosti očekuju jeste da će, prije ili kasnije, ovaj model ili drugi modeli sličnih sposobnosti omogućiti ljudima da provale u sisteme koji su ranije bili bezbjedni. Iz tog razloga postoji zabrinutost da će tada napadači biti u prednosti, jer su svi sistemi koje kompanije i vlade koriste izgrađeni, sloj po sloj, na osnovu relativno starog računarskog koda. Ovaj alat će omogućiti napadačima da detaljno istraže sisteme kako bi otkrili njihovu ranjivost", navodi Bleiberg. Anthropic je zasad predstavio samo ograničeno izdanje modela, ali postoji zabrinutost među ljudima koji rade u cyber-bezbjednosti u privatnom sektoru, kao i onima koji rade za vladu u agencijama za nacionalnu bezbjednost u SAD i inostranstvu da neće proći dugo prije nego što alat poput ovog postane široko dostupan, rekao je, dodajući da smatra da je Anthropic bio željan da stavi ovaj alat u ruke finansijskih institucija i firmi za cyber-bezbjednost, da im omogući da proaktivno preduzmu odbrambene mjere.
|
.webp){kind=icon}
