В Axios вышел подробный разбор иска, который MeetingTV подал против на Palo Alto Networks и купленной ей компании Koi — разработчика систем threat intelligence (разведки киберугроз). Поводом стал отчет об угрозах, в котором инфраструктуру стартапа связали с китайской хакерской операцией. MeetingTV утверждает, что причина — галлюцинация ИИ, и что из-за нее домены компании до сих пор заблокированы в продуктах множества вендоров безопасности.
Хронология такая. 30 декабря Koi опубликовала отчет DarkSpectre о группировке, заразившей миллионы браузеров. В нем среди вредоносной инфраструктуры оказались и домены MeetingTV. Стартап обратился к Koi с просьбой исправить отчет, и 12 февраля компания убрала один домен, отметив, что он фигурировал в проанализированном коде, но связи с вредоносной инфраструктурой не подтвердилось. Блокировки это не сняло, и 18 марта MeetingTV подала иск против Koi. В апреле Palo Alto Networks закрыла сделку по покупке Koi (около $400 млн) и тоже стала ответчиком в дополненном иске.
В центре спора — конкретное браузерное расширение, через которое отчет связывал кампанию Zoom Stealer с более широкой операцией DarkSpectre. MeetingTV указывает, что это расширение невозможно найти среди ID, перечисленных в самом отчете, и трактует расхождение как след ошибки, сгенерированной ИИ, либо более серьезного изъяна в анализе. Важная оговорка: Koi действительно применяет ИИ для разбора софта и расширений, но прямых доказательств того, что злополучный вывод сделала именно модель, в судебных документах нет.
Главная боль истца — не сам отчет, а его последствия. По словам CEO Майкла Робертсона, разблокировка отнимает огромные усилия и часто невозможна в принципе: блок-листов сотни, и непонятно, чьим решением пользуется тот или иной провайдер. К началу июня лишь часть вендоров понизила статус доменов с «вредоносных» до «среднего риска», остальные оставили блокировку. Palo Alto Networks от вопросов про ИИ и сами выводы отчета уклонилась, заявив лишь, что исследование Koi отражает курс на выявление угроз, а спор разрешится в правовом поле. В апрельском ходатайстве Koi настаивает: исследования в области безопасности — это защищенная речь, а саму MeetingTV отчет угрозой не называл.
За частным конфликтом стоит вопрос, на который у индустрии пока нет ответа: насколько ИБ-исследователи отвечают за каскадные последствия своих публикаций. Стоит выводу попасть в threat intelligence — он за часы расходится по продуктам вендоров и запускает блокировки, которые потом почти нереально откатить, был там ИИ или нет. 30 июня (буквально сегодня) Koi должна ответить на дополненный иск. MeetingTV уже просит суд о раннем этапе раскрытия, чтобы доказательства не успели потеряться.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть», где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1053680/