NHS England uzavírá veřejné repozitáře na GitHubu kvůli strachu z Mythosu – bezpečnostní experti jsou skeptičtí
Britská zdravotnická soustava NHS England nařídila všem technologickým vedoucím uzavřít veřejné repozitáře na GitHubu a přepnout je do soukromého režimu. Interní pokyn SDLC-8 vydaný 29. dubna 2026 jako výslovný důvod uvádí schopnosti AI modelu Mythos od Anthropic – velkorozsahová ingested kódu, inference nad ním a automatizované odvozování architektonických závislostí. Termín pro přepnutí do soukromého módu byl stanoven na 11. května 2026. Tým žádající o výjimku musel požádat do 6. května a získat souhlas Engineering Board.
Pokyn uniklý z NHS England cituje přesně: „Veřejné repozitáře materiálně zvyšují riziko neúmyslného zveřejnění zdrojového kódu, architektonických rozhodnutí, konfiguračních detailů a kontextových informací, jež mohou být zneužity – zejména s ohledem na rychlý vývoj AI modelů schopných velkorozsahové ingested kódu, inference a odvozování, jako jsou například vývoje jako model Mythos."
Na únik SDLC-8 upozornil Terence Eden, britský odborník na otevřené standardy a open source, který v minulosti pracoval pro Government Digital Service (GDS) a pomáhal zveřejnit zdrojový kód aplikace pro trasování kontaktů NHS Covid-19. Eden zdůraznil, že informaci dostal od více nezávislých vnitřních zdrojů z NHS, kteří s rozhodnutím nesouhlasí.
Reakce odborné komunity je ostrá a útočí z více stran najednou. Bezpečnostní experti označují přístup za klasický „security through obscurity" – skrývání kódu, které samo o sobě neopravuje chyby, neodstraňuje zranitelnosti a nenabízí žádnou reálnou zábranu sofistikovanému útočníkovi. Pokud kód obsahuje bezpečnostní slabinu, ta slabina existuje bez ohledu na to, zda je repozitář veřejný nebo soukromý. Uzavřením repozitářů NHS jednoduše ztratí výhody open-source bezpečnostní komunity, která by chyby mohla nacházet a hlásit. Root.cz to shrnuje přesně v titulku: „chyby tím neřeší".
Druhou rovinu kritiky tvoří politický paradox: rozhodnutí NHS jde přímo proti dlouhodobé politice britské vlády, která prosazuje open source ve veřejném sektoru jako nástroj transparentnosti, sdílení nákladů a kvality softwaru. Nadace FSFE (Free Software Foundation Europe) rozhodnutí odsoudila jako krok zpět a připomněla, že NHS bylo jednou z organizací, která svými veřejnými repozitáři fungovala jako vzor pro jiné zdravotnické systémy v Evropě.
Technicky vzato je obava NHS legitimní v jednom ohledu: velké AI modely schopné zpracovávat a analyzovat rozsáhlé kódové základny skutečně mění „cost of attack" na straně útočníka. Model jako Mythos teoreticky umožňuje zautomatizovat analýzu kódu v rozsahu, který dříve vyžadoval stovky hodin manuální práce bezpečnostního výzkumníka. Avšak z toho neplyne, že uzavření repozitářů situaci zlepší – reálný útočník si obvykle kód opatří jinými cestami, zatímco přínos otevřenosti (komunitní audit, snadnější spolupráce, snížení duplicitních nákladů) zmizí.
Celý incident je zajímavý i jako signál, jak rychle schopnosti generativní AI začínají přepisovat bezpečnostní politiky velkých institucí – a ne vždy ve směru, který by bezpečnostní komunita doporučila. Strach z toho, co Mythos nebo budoucí podobné modely mohou dělat s veřejně dostupným kódem, je reálný, ale volba reakce – obscurantismus místo systematického odstraňování zranitelností – vypovídá spíš o tom, jak málo institucí má jasnou strategii pro éru AI-asistované exploitace, než o samotné hrozbě.
Zdroj
Další články
EU se chystá udělit Googlu rekordní pokutu podle DMA za zvýhodňování vlastních produktů ve vyhledávání
Španělský dozorový úřad rozhodl: ministerstvo školství porušilo GDPR tím, že žákům poskytovalo vzdělávací cloud Microsoftu
