Федеральная служба по техническому и экспортному контролю (ФСТЭК России) порекомендовала государственным органам ограничить доступ к их сайтам для иностранных поисковых ботов, таких как GPTBot компании OpenAI.
Как заявляется в письме ФСТЭК для органов исполнительной власти, которое есть в распоряжении издания «Коммерсантъ», зарубежные поисковые боты «собирают информацию о существующих уязвимостях информационных ресурсов органов государственной власти РФ и о персональных данных, чтобы использовать их в зарубежных моделях машинного обучения». Чтобы предотвратить сбор таких данных, ФСТЭК рекомендует ограничить доступ к файлам robots.txt сайтов и серверов.
Поисковые боты используются для индексации сайтов поисковыми системами, в интернет-рекламе и для сбора данных для обучения нейросетей.
«Основная задача таких поисковых ботов — сбор информации о функционирующих и доступных для подключения сетевых ресурсах в интернете», — указывает в беседе с «Ъ» руководитель отдела разработки департамента TI (Threat intelligence) экспертного центра безопасности Positive Technologies Андрей Схоменко.
При этом есть боты, целенаправленно сканирующие сайты в поисках устаревших плагинов, ошибок конфигурации и незащищённых элементов, в которые можно встроить вредоносный код, объясняет руководитель направления защиты на уровне веб-приложений DDoS-Guard Дмитрий Никонов.
«Теоретически кто угодно, или бот, или хакер, может с помощью определённых команд выгрузить данные сайта», — уточняет он.
Тем не менее риски применения больших языковых моделей и нейросетей для кибератак на данный момент являются «скорее гипотетическими», считает руководитель группы исследований и разработки технологий машинного обучения «Лаборатории Касперского» Владислав Тушканов.
«Однако данная сфера развивается очень динамично, что требует постоянной оценки возникающих угроз. Существуют специализированные системы для поиска разнообразных внутренних сервисов, таких как подключённые к интернету камеры. И скрытие таких сервисов от поисковых ботов не сможет полностью решить саму проблему», — добавляет он.
При этом, как обнаружил «Ъ», сама ФСТЭК по состоянию на 2 сентября не следовала своей рекомендации: в файле robots.txt сайта службы отсутствует запретительная директива для GPTBot. Такой директивы также нет на сайтах МЧС, Минздрава, Минцифры. А в файлах robots.txt сайтов Минюста и ФСБ содержится запрет для всех интернет-роботов.
Источник: habr.com