Η μετάβαση στην εποχή της τεχνητής νοημοσύνης αποδεικνύεται χαοτική ακόμη και για τους ίδιους τους παρόχους πλατφορμών. Οι πρόσφατες αποκαλύψεις για κενά ασφαλείας και απρόβλεπτη χρέωση σε υπηρεσίες της Google Cloud φωτίζουν το ρίσκο για επιχειρήσεις και προγραμματιστές.
Η συζήτηση γύρω από την ασφάλεια στην τεχνητή νοημοσύνη παύει να είναι θεωρητική και μετατρέπεται σε άμεση επιχειρησιακή πρόκληση. Ο Francis de Souza, COO της Google Cloud, περιέγραψε μια μεταβατική περίοδο όπου «δεν υπάρχει στρατηγική AI χωρίς στρατηγική δεδομένων και ασφάλειας», την ώρα που η ίδια η Google βρίσκεται στο επίκεντρο σοβαρών περιστατικών ασφαλείας και χρέωσης.
Η νέα επιφάνεια επίθεσης και η «agentic» άμυνα
Ο de Souza υπογράμμισε ότι η ασφάλεια δεν μπορεί να είναι «πρόσθετο εξάρτημα» αλλά δομικό στοιχείο της πλατφόρμας. Προειδοποίησε για το «shadow AI» – τη χρήση καταναλωτικών εργαλείων από εργαζομένους χωρίς έλεγχο – και έθεσε ως προϋπόθεση την ενιαία διακυβέρνηση και δυνατότητα audit σε όλα τα μοντέλα και τα clouds. Σε ένα περιβάλλον όπου ο χρόνος από την αρχική παραβίαση μέχρι το επόμενο στάδιο επίθεσης έχει μειωθεί από 8 ώρες σε 22 δευτερόλεπτα, η κλασική άμυνα κρίνεται ανεπαρκής.
Η επιφάνεια επίθεσης πλέον περιλαμβάνει όχι μόνο δίκτυα και εφαρμογές, αλλά μοντέλα, data pipelines, agents και prompts. Η απάντηση, σύμφωνα με τον de Souza, είναι η «AI-native, πλήρως agentic άμυνα», όπου αυτόνομοι agents αναλαμβάνουν την άμυνα σε μηχανική ταχύτητα, με τους ανθρώπους σε ρόλο εποπτείας. Το ζήτημα όμως αναβαθμίζεται σε θέμα διοίκησης: «είναι θέμα διοικητικού συμβουλίου και εκτελεστικής ομάδας, όχι μόνο της ομάδας ασφαλείας».
Οι αστοχίες της Google: χρεώσεις-σοκ και καθυστερημένη ανάκληση κλειδιών
Την ίδια στιγμή, αναφορές αποκαλύπτουν σημαντικά κενά στις πρακτικές της Google Cloud. Προγραμματιστές βρέθηκαν με πενταψήφιους λογαριασμούς σε δολάρια μέσα σε λίγα λεπτά, μετά από μη εξουσιοδοτημένες κλήσεις σε μοντέλα Gemini μέσω API keys που αρχικά χρησιμοποιούνταν για Google Maps. Η Google είχε επεκτείνει σιωπηρά το scope αυτών των κλειδιών, ενώ αυτοματοποιημένα συστήματα αναβάθμιζαν τα όρια χρέωσης έως και τα 100.000 δολάρια, παρά τα δηλωμένα caps των χρηστών.
Παρότι σε ορισμένες περιπτώσεις έγιναν επιστροφές χρημάτων, η εταιρεία δηλώνει ότι δεν σκοπεύει να αλλάξει την πολιτική αυτόματης αναβάθμισης, προτάσσοντας τη διαθεσιμότητα υπηρεσιών έναντι των προϋπολογισμών των πελατών. Ακόμη πιο ανησυχητικό είναι ότι, σύμφωνα με έρευνα της Aikido, διαγραμμένα API keys της Google παραμένουν λειτουργικά έως και 23 λεπτά, δίνοντας στους επιτιθέμενους χρόνο να εξάγουν δεδομένα από τα συστήματα και τις συνομιλίες στο Gemini.
Νεότερες μορφές credentials της Google ανακαλούνται σε δευτερόλεπτα ή σε περίπου ένα λεπτό, αποδεικνύοντας ότι το πρόβλημα δεν είναι τεχνικό αλλά ζήτημα προτεραιοτήτων. Η αντίφαση ανάμεσα στις ορθές συστάσεις της Google για «platform-first» ασφάλεια και στις ίδιες τις πρακτικές της αναδεικνύει τον πραγματικό κίνδυνο για τις επιχειρήσεις: η μετάβαση στην εποχή της AI γίνεται σε πραγματικό χρόνο, με τα θεσμικά και τεχνικά δίχτυα ασφαλείας να στήνονται εκ των υστέρων.
Σχόλιο 
: Για τις ελληνικές επιχειρήσεις, το μήνυμα είναι διπλό: πρώτον, καμία υιοθέτηση AI χωρίς αυστηρή πολιτική για κλειδιά, όρια χρέωσης και διακυβέρνηση δεδομένων· δεύτερον, ακόμη και στους «μεγάλους» παρόχους, η σύμβαση και η τεχνική υλοποίηση πρέπει να ελέγχονται εξονυχιστικά, γιατί το ρίσκο μεταφέρεται τελικά στον πελάτη.
#τεχνητήνοημοσύνη #κυβερνοασφάλεια #GoogleCloud #Gemini #ψηφιακόςμετασχηματισμός
