AI fără gardă deschide noi uși pentru cibernetici
Un cartof fierbinte: Un nou val de instrumente AI concepute fără garanții etice este abilitarea hackerilor să identifice și să exploateze vulnerabilitățile software mai repede ca niciodată. Pe măsură ce aceste platforme „AI rele” evoluează rapid, experții în domeniul cibersecurității avertizează că apărările tradiționale vor lupta pentru a ține pasul.
Într -o dimineață recentă la conferința anuală a RSA de la San Francisco, o cameră plină de la Moscone Center s -a adunat pentru ceea ce a fost facturat ca o explorare tehnică a rolului inteligenței artificiale în hackingul modern.
Sesiunea, condusă de Sherri Davidoff și Matt Durrin de la LMG Security, a promis mai mult decât o simplă teorie; Acesta ar oferi o demonstrație rară și vie a așa-numitei „AI rele” în acțiune, un subiect care s-a mutat rapid de la ficțiunea Cyberpunk la îngrijorarea din lumea reală.
Davidoff, fondatorul și CEO-ul LMG Security, a stabilit scena cu o amintire sobră a amenințării mereu prezente din cauza vulnerabilităților software. Dar Durrin, directorul firmei de formare și cercetare, care a schimbat rapid tonul, relatează Alaina Yee, redactor principal la PCWorld.
El a introdus conceptul de „AI rău” – instrumente de inteligență artificială proiectate fără gardă etică, capabile să identifice și să exploateze defecte software înainte ca apărătorii să poată reacționa.
„Ce se întâmplă dacă hackerii își folosesc instrumentele AI malevolente, care nu au garanții, pentru a detecta vulnerabilitățile înainte de a avea ocazia să le abordăm?” Durrin a întrebat publicul, previzualizând demonstrațiile neliniștitoare care vor veni.
Călătoria echipei de a dobândi unul dintre aceste AI -uri necinstite, cum ar fi Ghostgpt și Devilgpt, s -a încheiat de obicei în frustrare sau disconfort. În cele din urmă, persistența lor a dat rezultate atunci când au urmărit Wormgpt – un instrument evidențiat într -un post de Brian Krebs – prin canale de telegramă pentru 50 de dolari.
După cum a explicat Durrin, Wormgpt este în esență chatgpt dezbrăcat de constrângerile sale etice. Acesta va răspunde la orice întrebare, indiferent cât de distructivă sau ilegală este cererea. Cu toate acestea, prezentatorii au subliniat că adevărata amenințare nu constă în existența instrumentului, ci în capacitățile sale.
Echipa de securitate LMG a început prin testarea unei versiuni mai vechi de Wormgpt pe DotProject, o platformă de gestionare a proiectului open-source. AI a identificat corect o vulnerabilitate SQL și a propus o exploatare de bază, deși nu a reușit să producă un atac de lucru – probabil pentru că nu ar putea prelucra întreaga bază de cod.
O versiune mai nouă de WormGPT a fost apoi însărcinată să analizeze vulnerabilitatea log4j infamă. De această dată, AI nu numai că a găsit defectul, dar a furnizat suficiente informații care, după cum a observat Davidoff, „un hacker intermediar” ar putea să -l folosească pentru a crea o exploatare.
Adevăratul șoc a venit cu cea mai recentă iterație: Wormgpt a oferit instrucțiuni pas cu pas, completate cu cod adaptat la serverul de testare, iar aceste instrucțiuni au funcționat fără cusur.
Pentru a împinge limitele în continuare, echipa a simulat o platformă vulnerabilă de comerț electronic Magento. Wormgpt a detectat o exploatare complexă în două părți care a evadat detectarea prin instrumente de securitate mainstream precum Sonarqube și chiar Chatgpt în sine. În timpul demonstrației live, Rogue AI a oferit un ghid de hacking cuprinzător, nepromovat și cu o viteză alarmantă.
Pe măsură ce sesiunea s -a apropiat, Davidoff s -a reflectat asupra evoluției rapide a acestor instrumente AI rău intenționate.
„Sunt puțin nervos de locul în care vom fi () cu instrumente de hacker în șase luni, deoarece puteți vedea clar progresele înregistrate în ultimul an”, a spus ea. Tăcerea neliniștită a publicului a răsunat sentimentul, a scris Yee.
Credit de imagine: PCWorld, LMG Security
