NIST: Matematički dokaz potvrđuje da apsolutna sigurnost AI guardrailova nije ostvariva
NIST-ov viši znanstvenik Apostol Vassilev dokazao je matematičkim formalizmom, proširujući Gödelove teoreme nepotpunosti iz 1931., da ne postoji konačni skup guardrailova koji je univerzalno otporan na adversarijske prompte. Statički sigurnosni okviri za AI modele strukturno su nepotpuni — preporučuje se trodijelna dinamička strategija kontinuiranog praćenja, ažuriranja i operativne otpornosti.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
Institut za standarde i tehnologiju SAD-a (NIST, engl. National Institute of Standards and Technology) objavio je matematički dokaz koji temeljno mijenja pristup sigurnosti AI sustava. Apostol Vassilev, viši znanstvenik NIST-a, dokazao je formalizmom objavljenim u časopisu IEEE Security & Privacy (svibanj 2026., DOI: 10.1109/MSEC.2026.3678214) da nikakav konačni skup guardrailova — pravila, filtara i sigurnosnih ograničenja ugrađenih u AI modele — ne može pružiti univerzalnu zaštitu od adversarijskih promptova (engl. adversarial prompts).
Gödelov teorem izvan matematike: primjena na AI sigurnost
Vassilev gradi dokaz na ramenima Kurta Gödela, čiji su teoremi nepotpunosti iz 1931. godine pokazali da unutar svakog dovoljno bogatog formalnog sustava postoje istinite tvrdnje koje se ne mogu dokazati unutar samog tog sustava. Analogija s AI sigurnošću je izravna: skup guardrailova temeljen na konačnom skupu pravila strukturno je nepotpun na isti način kao Gödelov formalni sustav.
Svaki takav skup pravila sadrži iskoristive praznine — i to nije pitanje lošeg dizajna ili nedovoljnih resursa, već matematičke nužnosti. Kao što je Vassilev sažeo: „Ne možete pobjeći od Gödela u matematici, a u AI najvjerojatnije ne možete zakrpati LLM sustav i potom očekivati da ste trajno sigurni.”
Zašto statički guardrailovi uvijek imaju iskoristive rupe?
Srž Vassilevljevog dokaza leži u bogatstvu prirodnog jezika. Za razliku od formalnih matematičkih sustava u kojima je prostor mogućih iskaza strogo omeđen, prostor mogućih adversarijskih promptova je praktički neograničen. Varijacije formulacija, kulturološki kontekst, metafore, višesmislene reference i hibridni jezični konstrukti čine iscrpnu enumeraciju svih potencijalnih napadnih vektora računski nedostižnom.
Svaki guardrail definiran na konačnom skupu pravila može prepoznati konačan broj uzoraka napada. Napadač koji otkrije ili zaključi strukturu tog skupa može generirati novi uzorak koji nije pokriven pravilima — analogno Gödelovom nedokazivom iskazu unutar formalnog sustava.
Vassilev je eksplicitan u zaključku: „Nikada ne možete tvrditi da ste otporni na sve adversarijske napadne promptove.” Ova izjava nije pesimizam niti poziv na predaju — to je matematička konsekvencija s kojom se moraju suočiti svi koji projektiraju sigurnosne okvire za AI.
Tri stupa dinamičke sigurnosne strategije
Na temelju dokaza, NIST preporučuje zamjenu statičke sigurnosne paradigme trodijelnom dinamičkom strategijom:
1. Kontinuirano crveno-timimanje (engl. red teaming) — organizirano, trajno traženje novih adversarijskih promptova od strane stručnjaka za napad. Ovo nije jednokratna aktivnost pred lansiranje sustava, nego permanentna operativna funkcija koja mora djelovati paralelno s produkcijskim sustavom.
2. Redovito ažuriranje guardrailova — svaka novotkrivena ranjivost mora biti integrirana u skup pravila što je brže moguće. Crveni timovi i odjeli za sigurnost moraju funkcionirati kao zatvorena povratna petlja: otkrivanje ranjivosti → zakrpa → validacija → ponovljeno testiranje.
3. Operativna otpornost (engl. operational resilience) — planiranje za scenarij u kojemu napad uspije. To uključuje brze protokole za ograničavanje štete, detekciju zlouporabe i oporavak od incidenta. Vassilev naglašava da planiranje oporavka zauzima jednako važno mjesto kao i prevencija.
Ekonomski pristup: skupoća napada, ne apsolutna zaštita
Vassilev uvodi i ekonomski okvir koji redefinira realistični cilj AI sigurnosti. Cilj ne smije biti apsolutna neprobojnost — jer je matematički dokazano da je nedostižna. Cilj je učiniti troškove otkrivanja ranjivosti financijski prohibitivnima za napadača.
Ova perspektiva prebacuje fokus s pitanja „jesmo li potpuno sigurni?” na operativno korisnije pitanje: „je li napadaču skuplje pronaći exploit nego što dobiva od njega?” Ako ciklus kontinuiranog crvenog timimanja i ažuriranja funkcionira dovoljno brzo i temeljito, novi exploiti ostaju kratkovječni — i time ekonomski neatraktivni za većinu potencijalnih napadača.
Implikacije za politiku i evaluaciju AI sustava
Vassilevljev dokaz, objavljen u vodećem recenziranom informatičko-sigurnosnom časopisu, ima potencijalnu normativnu težinu za regulatorna tijela koja razvijaju standarde sigurnosti AI. Ako postojeći compliance okviri pretpostavljaju da je moguće jednom trajno „riješiti” sigurnosni problem AI sustava statičkim mjerama, dokaz pokazuje da takvi okviri počivaju na matematički pogrešnoj premisi.
Praktične implikacije obuhvaćaju reviziju pristupa evaluaciji AI sustava pred regulatorno odobrenje, uvođenje zahtjeva za dinamičke sigurnosne procese u operativne standarde, i uspostavu mehanizama za brzu distribuciju informacija o novootkrivenim ranjivostima između pružatelja AI usluga i tijela za standardizaciju. Prema NIST-u, apsolutna sigurnost nije ostvariv cilj — ali sustavna, ekonomski organizirana dinamička obrana jest.
Česta pitanja
- Što Vassilevljev dokaz znači za dizajn AI sigurnosnih sustava?
- Znači da nijedan statički skup pravila ili filtara ne može pružiti potpunu zaštitu od adversarijskih promptova. Svaki konačni skup guardrailova strukturno sadrži iskoristive praznine koje napadač uvijek može pronaći.
- Što NIST preporučuje umjesto statičkih guardrailova?
- Trodijelnu dinamičku strategiju: neprekidno crveno-timimanje radi otkrivanja novih ranjivosti, redovito ažuriranje guardrailova i operativnu otpornost s planovima za brzi oporavak nakon uspješnog napada.
- Koji je ekonomski cilj dinamičke AI sigurnosne strategije?
- Učiniti troškove otkrivanja i iskorištavanja ranjivosti financijski prohibitivnima za napadača — ne postići apsolutnu neprobojnost, nego napade učiniti ekonomski neatraktivnima.
📬 AI vijesti u tvoj inbox
Dnevni digest po tvojoj mjeri — biraš teme, izvore i ritam. Odjava jednim klikom.
Povezane vijesti
arXiv:2607.12200: okvir za mjerenje CBRN 'uplifta' kod frontier modela — potvrđen rizik samo u radiološkoj domeni
LangChain: zašto AI agentima treba vlastito izolirano računalo (sandbox)
GitHub: AI sigurnosne detekcije na pull requestovima i /security-review u Copilot appu