'Vulnpocalypse': Ce se întâmplă când IA oferă hackerilor o superarmă
Pe măsură ce inteligența artificială (IA) devine tot mai capabilă în identificarea vulnerabilităților software, experții avertizează din ce în ce mai mult cu privire la un potențial scenariu de dezastru: așa-zisa “Vulnpocalypse”. Hackerii ar putea să-și îmbunătățească rapid atacurile cu tehnologia IA menită să identifice breșe în apărarea cibernetică, avertizează cercetătorii în securitate, conform nbcnews.com.
👉 Retragerea modelului Mythos Preview din cauza riscurilor de securitate
Săptămâna aceasta, acest scenariu a început să pară mai puțin teoretic. Anthropic, o companie de vârf în domeniul IA, a anunțat că va reține cel mai recent model al său, Mythos Preview, de la public, invocând capacitățile sale fără precedent de descoperire a vulnerabilităților care ar putea provoca daune semnificative în mâinile greșite. Compania împărtășește modelul cu un număr restrâns de giganți tehnologici și parteneri pentru a le ajuta să-și întărească apărarea.
👉 Reacții și măsuri guvernamentale privind amenințările IA
Preocuparea a ajuns la cele mai înalte niveluri ale guvernului. În urma anunțului Anthropic despre Mythos Preview, secretarul Trezoreriei, Scott Bessent, a convocat săptămâna aceasta o întâlnire cu principalele instituții financiare pentru a discuta „despre evoluțiile rapide care au loc în IA”, a declarat un purtător de cuvânt al agenției. Unii teoretizează că IA ar putea ajuta hackerii să blocheze sistemele financiare sau să închidă spitalele și fabricile. Acest lucru ar putea ajuta țări precum Iranul să oprească infrastructura critică americană. Sau ar putea fi folosită pentru a provoca întreruperi masive ale sistemelor, afectând călătorii sau utilizatorii de internet.
„Avem mult mai multe vulnerabilități decât majoritatea oamenilor ar dori să admită; repararea lor a fost deja dificilă, iar acum sunt mult mai ușor de exploatat de o varietate mult mai largă de adversari potențiali,” a spus Casey Ellis, fondatorul Bugcrowd, o platformă pentru cercetătorii în securitate cibernetică care vânează vulnerabilități. „IA pune în mâinile mult mai multor oameni instrumentele necesare pentru a face acest lucru.”
👉 Capacitățile IA în descoperirea vulnerabilităților software
Hackerii intră adesea în sistemele digitale găsind modalități de a exploata defectele din software, ceea ce duce la un schimb etern în care atacatorii caută noi oportunități, iar apărătorii încearcă să-și actualizeze codul pentru a-i bloca. Unele modele de IA, în special cele care sunt la fel de bune sau mai bune decât un om la programare, s-au dovedit extrem de capabile de a descoperi rapid aceste vulnerabilități.
Temerile legate de capacitatea IA de a oferi hackerilor o superarmă care să copleșească apărarea cibernetică au atins o nouă valoare maximă săptămâna aceasta, când Anthropic a anunțat că nu va lansa încă Mythos publicului. Dar, indiferent dacă Mythos se ridică la înălțimea hype-ului său, experții din industrie sunt în mare parte de acord că o perioadă de răspundere se apropie rapid, când hackerii vor putea folosi IA pentru a obține mai mult avantaj față de victimele lor ca niciodată. „Un apărător trebuie să fie corect tot timpul, în timp ce un atacator trebuie să fie corect doar o dată,” a spus Ellis.
Logan Graham, care conduce cercetările ofensive în domeniul cibernetic la Anthropic, a spus că, chiar dacă Mythos nu va deveni niciodată public, se așteaptă ca competitorii companiei, inclusiv cei din China, să lanseze modele cu capacități de hacking comparabile în lunile și anii următori. „Trebuie să ne planificăm pentru o lume în care, în termen de șase până la 12 luni, astfel de capacități ar putea fi distribuite pe scară largă sau făcute disponibile pe scară largă, nu doar de companii din Statele Unite,” a declarat Graham pentru NBC News. „Dacă privim dintr-o perspectivă mai largă, aceasta este o cronologie destul de nebună, unde, de obicei, pregătirile pentru astfel de lucruri durează mulți ani,” a adăugat el.
Mythos nu este doar bun la găsirea vulnerabilităților, a spus Graham, ci și la legarea lor în exploatări complicate care pot deveni instrumente devastatoare de hacking. Katie Moussouris, CEO și co-fondatoare a Luta Security, a afirmat că se așteaptă la scenarii similare celor în care mari furnizori de servicii cloud se deconectează din cauza unor erori și afectează semnificativ părți din internet. „Absolut, vom începe să vedem întreruperi mari care au efecte în lanț asupra altor industrii, așa cum industria aeriană a suferit în incidentul CrowdStrike. Diverse alte lucruri suferă atunci când Cloudflare este la pământ, când Amazon Web Services este la pământ,” a afirmat ea.
Cynthia Kaiser, fostă oficială senior în domeniul cibernetic al FBI și vicepreședintă senior la Halcyon, o companie care lucrează la prevenirea atacurilor ransomware, a spus că este îngrijorată de modul în care IA va ajuta hackerii mediocri, ale căror singure limitări în a ataca spitalele pentru a le ține ostatici este lipsa abilității. „Cei care doresc să încerce, acest curent subteran de oameni care nu au fost capabili să efectueze aceste operațiuni acum un an, au acum câteva dintre cele mai puternice instrumente cunoscute de omenire în mâinile lor,” a declarat ea pentru NBC News. „Sistemele de sănătate și producția critică au fost cel mai țintite de atacurile ransomware în ultimul an. Cred că acest model va continua. Vor ataca zone unde există puțină toleranță pentru downtime.”
IA ar putea avea de asemenea un impact semnificativ asupra războiului cibernetic și asupra atacurilor asupra infrastructurii critice din SUA, oferind un avantaj hackerilor al căror scop este pur și simplu distrugerea. Dedesubtul începutului războiului SUA cu Iranul, hackerii din Teheran au atacat mai multe ținte americane, dar au exagerat de fiecare dată capacitățile lor. Au realizat doar un singur atac public semnificativ și distrugător – asupra unei companii de tehnologie medicală din Michigan numită Stryker. Agențiile federale au declarat săptămâna aceasta că Iranul a avut succes în a pătrunde în companii de infrastructură critică, inclusiv servicii de apă și apă uzată și sectorul energetic, cu intenția de a provoca disruption.
Nu este clar dacă vreuna dintre atacuri a fost semnificativă și victimele nu au fost identificate public. Dar IA ar putea face această muncă mai ușoară. Unele sisteme de control industrial au apărări cibernetice semnificative, deși altele – cum ar fi unele stații de tratare a apei în zone puțin populate ale țării – nu dispun de acestea. Astfel de sisteme sunt adesea notoriu dificile pentru hackeri, deoarece se bazează pe sisteme mai obscure. Jason Healey, un cercetător senior la Universitatea Columbia specializat în conflictul cibernetic, a spus că, deși Iranul nu a reușit până acum să efectueze un atac cibernetic sofisticat asupra SUA, IA ar putea face acest lucru mai fezabil. „În loc să fie nevoie să pregătim o generație de hackeri care să înțeleagă funcționarea sistemelor de apă, IA ar trebui să poată ajuta să înțeleagă aceste sisteme și să automatizeze procesul de intruziune,” a spus el.
Bryson Bort, fondatorul Scythe, o platformă care ajută sistemele industriale să-și imagineze potențiale atacuri cibernetice, a declarat că infrastructura critică este adesea deconectată de la internet, ceea ce face puțin probabil un adevărat scenariu apocaliptic. „Nu toate aceste lucruri duc la rezultate imediate, precum, toată lumea începe să moară ca în filmele de la Hollywood,” a spus el. Dar e fezabil ca hackerii insistenți cu accesul corect să continue să atace sisteme precum stațiile de tratare a apei și să le forțeze să nu mai funcționeze temporar până când nu își pot recăpăta controlul. „Dacă continuă să fie compromise, am nevoie să funcționeze pentru a produce apă la un moment dat,” a conchis el.