«Злом Vibe» відкриває новий виток гонки озброєнь у кібербезпеці — ForkLog UA
У найближчому майбутньому навіть люди, які не мають спеціалізованих навичок, зможуть здійснювати масштабні атаки за допомогою генеративного штучного інтелекту. Експерти вважають, що ця ситуація виходить за рамки простої автоматизації виробництва шкідливого програмного забезпечення; вона свідчить про всебічний зсув стратегій у сфері кібербезпеки.
Доречним прикладом є XBOW, автономна система, яка вже піднялася на вершину рейтингу HackerOne і, як стверджують її розробники, ефективно використовує вразливості в 75% веб-бенчмарків.
Експерти галузі стверджують, що зловмисники активно використовують генеративні моделі, такі як ChatGPT або Claude. Незважаючи на обмеження, встановлені розробниками, онлайн-спільноти широко поширюють методи обходу фільтрів (джейлбрейки). Деякі зловмисники видають себе за фахівців з тестування безпеки, щоб отримати шкідливий код на запит.
«Вам достатньо заявити, що ви є частиною Capture The Flag або тестуєте безпеку, і штучний інтелект охоче згенерує для вас скрипт PowerShell, що містить шкідливий код», – наголосила Кеті Муссуріс, керівник Luta Security, у коментарі для Wired.
Вона наголосила, що на ринку вже були випадки появи спеціалізованих моделей атак, зокрема WormGPT та FraudGPT. Хоча більшість із них виявилися зміненими версіями ChatGPT, ця тенденція безпомилкова.
З появою LLM з'явилася нова тенденція розробки коду користувачами, які не мають технічних знань — «вайб-програмування». Оскільки системи штучного інтелекту продовжують розвиватися, експерти спостерігають зростання нового явища — «вайб-хакінгу». Люди без певного досвіду можуть створювати шкідливий код, просто сформулювавши бажаний результат у підказці.
Тим не менш, основна загроза походить не від новачків. Як підкреслюють фахівці з RANE та Hunted Labs, більший ризик становлять досвідчені хакери, які використовують штучний інтелект для пришвидшення складних атак, включаючи створення поліморфного програмного забезпечення, яке автономно переписує себе під час виконання.
У такому середовищі традиційні засоби захисту стають менш ефективними, що вимагає «симетричної» відповіді.
«Найефективніший захист від атаки зі штучним інтелектом — це досвідчений експерт зі штучного інтелекту», — підсумовує аналітик RANE Гейлі Бенедикт.
Однак Мусуріс зазначає, що це лише етап у гонці озброєнь, яка триває вже 30 років. Ті, хто першими опанують контроль над штучним інтелектом, встановлять умови для цього «раунду».
Варто зазначити, що Google запустив застосунок для офлайн-взаємодії з моделями штучного інтелекту, що може сприяти обходу вбудованих обмежень.
