HuggingFace manifesto: open-source kao temelj AI cyber sigurnosti

HuggingFace je 21. travnja 2026. objavio opsežni manifest u kojem Margaret Mitchell, Yacine Jernite, Clem Delangue i 17 suautora argumentiraju da budućnost cyber obrane ovisi o otvorenim modelima, otvorenom scaffoldingu i auditabilnim tragovima. Tekst je izravan odgovor na Anthropicov projekt Mythos.

Zašto zatvoreni AI sustavi predstavljaju jedinstvenu točku kvara?

Autori tvrde da AI sposobnost u cyber sigurnosti nije glatka — ovisi o sustavu unutar kojeg model radi (compute, podaci o softveru, scaffolding za pronalaženje ranjivosti, autonomija). Taj sustav kod zatvorenih projekata živi kod jednog proizvođača. To znači da samo jedna organizacija može vidjeti i popraviti kod, što autori opisuju kao „single point of failure” — jedinstvenu točku kvara. Dodatan problem je što AI alati sve lakše reverzno inženjeriraju obfuskirane binarne datoteke, pa proprietary obskurnost prestaje biti obrambena strategija. Otvoreni ekosustavi, naprotiv, distribuiraju rad kroz četiri faze: detekciju, verifikaciju, koordinaciju i propagaciju zakrpe. Svaka od tih faza profitira od više očiju i timova koji dijele nalaze.

Kako AI alati pojačavaju ranjivosti u zatvorenom kodu?

Manifest upozorava na scenarij koji se već odvija: poduzeća usvajaju AI alate za razvoj koda pod krivim poticajima — brzina iznad sigurnosti. U takvim uvjetima, prema autorima, „AI-ubrzani razvoj može unijeti više ranjivosti u proprietary kod nego tradicionalni razvoj”. Te ranjivosti zatim sjede u zatvorenoj kodnoj bazi gdje ih može pronaći i zakrpati samo jedna organizacija, dok AI-naoružani napadači sve uspješnije otkrivaju iste rupe izvana. Autori taj rizik nazivaju „asimetrijom sposobnosti” između napadača i branitelja — otvoreni modeli i alati smanjuju taj jaz jer braniteljima daju pristup istoj klasi sposobnosti kojima napadači posežu.

Što su semi-autonomni agenti s nadzorom i zašto ih preporučuju?

Umjesto potpuno autonomnih sustava koji rade bez ljudskog uvida, manifest predlaže semi-autonomne agente — sustave gdje su akcije predefinirane, pojedini koraci zahtijevaju ljudsko odobrenje, a čovjek zadržava kontrolu. Ključna rečenica glasi: „‘Čovjek u petlji’ ima smisla samo ako čovjek može vidjeti u petlju.” Da bi taj nadzor bio stvaran, potreban je otvoreni scaffolding agenta, otvoreni rule engine i auditabilni logovi odluka i tragova. Za organizacije s visokim ulozima (banke, bolnice, kritična infrastruktura) to znači mogućnost inspekcije monitoring sustava, fino podešavanje na vlastitim podacima, prilagođene mehanizme nadzora i rad unutar internog okruženja — bez slanja osjetljivih podataka vanjskim AI provajderima. Autori zaključuju da će budućnost cyber sigurnosti oblikovati ekosustavi, ne pojedinačni modeli, a otvorenost je jedini put koji braniteljima daje vidljivost, kontrolu i zajedničku infrastrukturu da ostanu korak ispred napadača.