Новата вълна от AI инструменти, създадени без каквито и да било етични предпазни мерки, дава възможност на хакерите да идентифицират и използват софтуерните уязвимости по-бързо от всякога. Тъй като тези платформи за „зъл изкуствен интелект“ или „злонамерен AI“ се развиват стремително, експертите по киберсигурност предупреждават, че традиционните защити трудно ще се справят с темпото.
По време на годишната конференция RSA в Сан Франциско в Moscone Center се бе събрало множество от експерти за да се запознае с ролята на изкуствения интелект в съвременното хакерство.
Сесията, водена от Шери Давидоф и Мат Дърин от LMG Security, обещаваше нещо повече от теория; тя щеше да предложи рядка демонстрация на живо на така наречения „зъл AI“ в действие - тема, която бързо се превърна от киберпънк фантастика в реален проблем. Така и стана.
Давидов представи концепцията за „зъл изкуствен интелект“ - AI инструменти без етични гаранции, които са в състояние с лекота да идентифицират и използват софтуерните недостатъци и бъгове, още преди защитните механизми да реагират.
„Какво ще стане, ако хакерите използват своите злонамерени AI инструменти, при които липсват каквито и да било предпазни мерки, за да откриват уязвимостите, преди ние да имаме възможност да се справим с тях?" - Дърин именно по този начин попита аудиторията, предвещавайки тревожните демонстрации, които предстоят.
Упоритите търсения на екипа да се сдобие с някой от тези нелоялни изкуствени интелекти от рода на GhostGPT и DevilGPT обикновено завършваха с разочарование или неудобство. Накрая упоритостта им се отплати, когато те откриха WormGPT - инструмент, специално изтъкнат в публикация на небезизвестния Брайън Кребс. Достъпът до този инструмент се осъществи чрез каналите на Telegram за сумата от $50.
WormGPT по същество е ChatGPT, лишен от всички етични ограничения. Той отговаря на всеки въпрос, без значение колко разрушителен или незаконен е той. Въпреки това водещите подчертаха, че истинската заплаха не се крие в съществуването на инструмента, а в неговите възможности.
По време на събитието екипът на LMG Security започна с тестване на по-стара версия на WormGPT върху DotProject - платформа за управление на проекти с отворен код. AI правилно идентифицира доста сложна SQL уязвимост и предложи базов експлойт, въпреки че не успя да създаде действаща атака - вероятно защото не можеше да обработи цялата кодова база.
Само че след това на по-нова версия на WormGPT беше възложено да анализира прословутата уязвимост Log4j. Този път изкуственият интелект не само откри дефекта, но и предостави достатъчно информация, за да може, както отбеляза Давидов, „един средно напреднал хакер“ да я използва за създаване на експлойт.
Истинският шок дойде с последната итерация: WormGPT започна да предлага инструкции стъпка по стъпка, допълнени с код, адаптиран към тестовия сървър, и тези инструкции функционираха безупречно.
За да разшири още повече възможностите, екипът симулира уязвима платформа за електронна търговия с името Magento. WormGPT откри сложен двукомпонентен експлойт, който избегна откриването от основните инструменти за информационна безопасност като SonarQube и дори от самия ChatGPT. По време на демонстрацията на живо хакерският изкуствен интелект предложи изчерпателно ръководство за проникване, при това всичко стана със застрашително висока скорост - много по-бързо от дори средно напреднал хакер.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари