У щотижневому подкасті IBM Security Intelligence ведучий Метт Косінскі разом із експертами з кібербезпеки Джеффом Крумом, Клер Нуньєс і Ніком Бредлі обговорюють черговий тривожний сигнал для ринку: університет Торонто продемонстрував саморозповсюджуваний AI‑«черв’як» на основі відкритої LLM. Звідси розмова швидко переходить до ширшої теми — як екосистема open‑source моделей, зокрема Hugging Face, радикально ускладнює будь-який контроль зловживань і чому заклики «просто не використовуйте AI для Х» вже не працюють.
Для українських компаній, які масово піднімають власні LLM‑сервіси, це не теоретичне питання, а практичний ризик і водночас можливість.
Чому дослідники обрали саме open‑source модель
AI‑черв’як, розроблений дослідниками з університету Торонто, працює як «самореплікований агент». Він поширюється з пристрою на пристрій подібно до класичних мережевих «черв’яків», але робить це за рахунок локально запущеної моделі, яка «розмірковує» над тим, які вразливості та експлойти обрати для кожної нової цілі.
Ключова деталь: у роботі використали саме відкриту модель.
Учасники дискусії наголошують, що це не випадковий вибір. Відкрите LLM‑ядро означає відсутність центрального провайдера, який міг би побачити, що відбувається, і викинути зловмисника з платформи. Для атакувальників ця свобода критична:
«Вони використали open‑source модель, бо це означає, що немає OpenAI чи Anthropic, які дивляться, що ти робиш, і можуть вигнати з платформи.»
У випадку з комерційними моделями діють умови використання, технічні фільтри, логування запитів і, зрештою, право провайдера просто відключити клієнта, якщо виявлено явне зловживання. Open‑source моделі позбавляють цього запобіжника: код і ваги можна розгорнути локально, «відрізавши» будь-який зовнішній контроль.
Саме тому спецпроєкти на кшталт AI‑черв’яків логічно рухаються в бік відкритих моделей — і український ринок, який активно експериментує з самостійно розгорнутими LLM, опиняється в тій самій зоні ризику.
Hugging Face як GitHub для моделей: машину вже не заглушити
Розмова виходить за межі конкретного черв’яка й переходить до інфраструктури, яка фактично зробила подібні експерименти неминучими. Центральний об’єкт тут — Hugging Face.
Джефф Крум описує платформу як «GitHub для моделей» і підкреслює масштаб явища:
«На Hugging Face — це як GitHub для моделей — вже більше двох мільйонів AI‑моделей. Немає способу зупинити це чи “відкотити назад”.»
Далі він послідовно використовує серію образних аналогій, щоб пояснити: будь-які спроби «загальмувати» розвиток open‑source AI запізнилися:
«Немає сенсу намагатися “замкнути хлів”, коли всі тварини вже втекли. Тут неможливо повернути зубну пасту в тюбик або загнати джина назад у пляшку.»
У практичному вимірі це означає:
- моделі, включно з тими, що потенційно полегшують атаки, уже розповсюджені по всьому світу;
- немає центру, який можна вимкнути, немає єдиного вендора, якому можна «подзвонити, щоб вони це зняли»;
- навіть якщо частину репозиторіїв видалити, копії вже збережені в інших місцях.
Для українських команд, які розглядають Hugging Face як зручний каталог «готових» моделей для власних сервісів, це створює нову відповідальність: разом із можливостями імпортується й ризиковий функціонал, який можуть використати вже по інший бік барикад.
«Не використовуйте AI для Х» більше не працює
На тлі зростання ризиків природною реакцією стають заборони. У дискусії перелічують типові формулювання: «не використовуйте AI в класах», «не використовуйте для музики», «не використовуйте тут чи там». Але в учасників подкасту є однозначна відповідь:
«Люди кажуть: не використовуйте AI в класах, не використовуйте в музиці, не використовуйте тут чи там. Але він уже всюди — тепер треба прийняти реальність і жити з нею.»
Цей підхід стосується не лише освіти чи творчості, а й безпеки. Заборона як основний інструмент політики виявляється непридатною, коли технологія:
- вільно доступна у вигляді коду й ваг;
- поширюється через десятки, а то й сотні незалежних хостингів;
- вбудовується в офіційні й неофіційні робочі процеси.
Інакше кажучи, позиція «ми у своїй організації просто не будемо це використовувати» не знімає загрози. Вона лише відмежовує захисників від інструментів, які вже активно освоюють атакувальники.
Якщо захисники відмовляться від AI, гонка все одно триватиме
Коли мова заходить про AI‑черв’яки та інші наступальні сценарії, виникає спокуса заявити: «ця технологія занадто небезпечна, її потрібно обмежити». Однак у подкасті проводять чітку лінію: реальний вибір не між «AI чи без AI», а між «AI у всіх сторін конфлікту» та «AI лише у нападників».
Це формулюється максимально прямо:
«Якщо ми не будемо використовувати AI в безпеці, атакувальники все одно будуть. Ти можеш сам себе вивести з цієї гонки, але просто залишишся позаду.»
Ця фраза задає практичну рамку для будь-якої стратегії безпеки в епоху LLM:
- повна відмова від AI‑інструментів у захисті не сповільнить атакувальників;
- навпаки, вона спростить їхнє життя, бо захисна сторона залишиться зі старими темпами аналізу, реагування й мислення;
- гонка триватиме незалежно від бажання окремих організацій брати в ній участь.
У цьому сенсі демонстрація AI‑черв’яка стає не стільки «лякалкою», скільки аргументом за симетричну відповідь: якщо модель може самостійно знаходити вразливості й планувати експлуатацію, аналогічні підходи мають з’являтися і в інструментах захисників.
«Занадто небезпечні» моделі й те, як їх використати на користь
Одне із спірних питань — чи варто взагалі публікувати моделі, що добре знаходять вразливості або допомагають будувати атаки. У публічному просторі регулярно з’являється теза, що такі моделі «занадто небезпечні для вільного доступу».
Учасники обговорення визнають ризики, але наполягають: усе вирішує контекст використання й контроль за середовищем, у якому працює модель. Прямо звучить формулювання:
«Модель, яка знаходить вразливості, може бути “занадто небезпечною”, але в руках правильних людей це корисний інструмент для пошуку й виправлення проблем.»
Це важливий акцент для команд, які займаються пентестами, Red Team‑операціями чи побудовою DevSecOps‑процесів. Ті самі принципи, які демонструє AI‑черв’як (самостійний пошук шляху атаки, адаптація до цілі, вибір експлойтів), можуть бути використані:
- для автоматизованого аудиту власних систем;
- для генерації пріоритетних списків вразливостей і рекомендацій із виправлення;
- для постійного «прогону» інфраструктури через симульовані атаки.
Принциповий момент: мова не про те, щоб «заборонити» ті чи інші моделі, а про те, щоб оточити їхню роботу захисними контурами й використовувати там, де результатом є посилення безпеки, а не її руйнування.
Новий реалізм для ринку AI‑сервісів
Комбінація трьох факторів — масовий open‑source, неконтрольовані репозиторії та наступальні дослідження на кшталт AI‑черв’яків — змушує ринок переходити до нового реалізму.
Цей реалізм включає кілька неприємних, але необхідних визнань:
по‑перше, технологія вже в руках усіх сторін — від академічних дослідників до кіберзлочинців. Спроба повернутися в «додопам’ятний» стан неможлива;
по‑друге, заборонні стратегії більше не дають бажаного ефекту. Вони лише послаблюють тих, хто їх дотримується, у порівнянні з тими, хто нічим себе не обмежує;
по‑третє, моделі, які в публічних дискусіях називають «небезпечними», можуть стати важливою частиною захисної екосистеми — за умови грамотного впровадження й чітких меж використання.
Для українських компаній, що інвестують у власні LLM‑рішення, це означає: open‑source не можна сприймати ані як «безпечну безкоштовну альтернативу комерційним API», ані як «щось, що можна заборонити й не думати про наслідки». Open‑source моделі вже стали базовою складовою інфраструктури атак і захисту — і питання лише в тому, яку роль у цій новій реальності обере для себе кожна організація.
Джерело
Can you social engineer an AI? Plus: AI worms and the nonhuman identity problem — IBM Technology