Di dekat Masa depan satu peretas mungkin dapat melepaskan 20 serangan nol hari pada sistem yang berbeda di seluruh dunia sekaligus. Malware polimorfik dapat mengamuk di seluruh basis kode, menggunakan sistem AI generatif yang dipesan lebih dahulu untuk menulis ulang sendiri saat dipelajari dan beradaptasi. Tentara anak-anak naskah dapat menggunakan LLM yang dibangun khusus untuk melepaskan aliran kode jahat dengan menekan sebuah tombol.
Contoh kasus: Sampai tulisan ini, sistem AI duduk di atas Beberapa papan peringkat di hackerone—Sistem hadiah Bug Enterprise. AI adalah Xbowsebuah sistem yang ditujukan pada Whitehat Pentesters yang “secara mandiri menemukan dan mengeksploitasi kerentanan dalam 75 persen dari tolok ukur web,” menurut situs web perusahaan.
Peretas yang dibantu AI adalah ketakutan utama dalam industri keamanan siber, bahkan jika potensi mereka belum cukup terwujud. “Saya membandingkannya dengan berada di pendaratan darurat di pesawat di mana itu seperti ‘Brace, Brace, Brace’ tetapi kami masih belum memengaruhi apa pun,” Hayden Smith, salah satu pendiri perusahaan keamanan memburu laboratorium, mengatakan kepada Wired. “Kami masih menunggu acara massa itu.”
AI generatif telah memudahkan siapa pun untuk membuat kode. LLM membaik setiap hari, model baru memuntahkan kode yang lebih efisien, dan perusahaan seperti Microsoft katakan mereka menggunakan agen AI untuk membantu menulis basis kode mereka. Siapa pun dapat memuntahkan skrip Python menggunakan chatgpt sekarang, dan getaran pengkodean – mengajukan AI untuk menulis kode untuk Anda, bahkan jika Anda tidak memiliki banyak ide bagaimana melakukannya sendiri – populer; Tapi ada juga peretasan getaran.
“Kami akan melihat peretasan getaran. Dan orang -orang tanpa pengetahuan sebelumnya atau pengetahuan yang mendalam akan dapat memberi tahu AI apa yang ingin dibuat dan dapat melanjutkan dan menyelesaikan masalah itu, �” Katie Moussouris, pendiri dan CEO Luta Security, mengatakan kepada Wired.
Vibe Hacking Frontends telah ada sejak 2023. Saat itu, sebuah LLM yang dibangun khusus untuk menghasilkan kode berbahaya yang disebut Wormgpt Tersebar pada kelompok perselisihan, server telegram, dan forum Darknet. Ketika profesional keamanan dan media menemukannya, Penciptanya menarik steker.
Wormgpt memudar, tetapi layanan lain itu menagih diri sebagai Blackhat llms, seperti FRAUmenggantinya. Tetapi penerus Wormgpt memiliki masalah. Seperti yang dicatat oleh perusahaan keamanan AI yang abnormal, banyak dari aplikasi ini Versi chatgpt yang di -jailbroke Dengan beberapa kode tambahan untuk membuatnya tampak seolah-olah mereka adalah produk yang berdiri sendiri.
Lebih baik daripada, jika Anda seorang aktor yang buruk, untuk pergi ke sumbernya. Chatgpt, gemini, dan claude dengan mudah di -jailbreak. Kebanyakan LLM memiliki rel penjaga yang mencegah mereka menghasilkan kode berbahaya, tetapi ada seluruh komunitas secara online didedikasikan untuk melewati pagar pembatas itu. Antropik bahkan menawarkan hadiah bug kepada orang -orang yang Temukan yang baru di Claude.
“Sangat penting bagi kami bahwa kami mengembangkan model kami dengan aman,” kata juru bicara Openai. “Kami mengambil langkah -langkah untuk mengurangi risiko penggunaan jahat, dan kami terus meningkatkan perlindungan untuk membuat model kami lebih kuat terhadap eksploitasi seperti jailbreak. Misalnya, Anda dapat membaca penelitian dan pendekatan kami untuk melakukan jailbreak di dalam Kartu Sistem GPT-4.5atau di Openai O3 dan O4-Mini System Card. “
Google tidak menanggapi permintaan komentar.
Pada tahun 2023, peneliti keamanan di Trend Micro mendapat chatgpt untuk menghasilkan kode berbahaya dengan mendorongnya ke peran peneliti keamanan dan pentester. ChatGPT kemudian dengan senang hati akan menghasilkan skrip PowerShell berdasarkan basis data kode jahat.
“Anda dapat menggunakannya untuk membuat malware,” kata Moussouris. “Cara termudah untuk berkeliling perlindungan yang diberlakukan oleh para pembuat model AI adalah dengan mengatakan bahwa Anda bersaing dalam latihan menangkap-bendera, dan itu akan dengan senang hati menghasilkan kode berbahaya untuk Anda.”
Aktor-aktor yang tidak canggih seperti anak-anak naskah adalah masalah kuno di dunia keamanan siber, dan AI mungkin memperkuat profil mereka. “Ini menurunkan penghalang untuk masuk ke kejahatan dunia maya,” Hayley Benedict, seorang analis intelijen cyber di Rane, mengatakan kepada Wired.
Namun, katanya, ancaman nyata mungkin berasal dari kelompok peretasan yang mapan yang akan menggunakan AI untuk lebih meningkatkan kemampuan mereka yang sudah menakutkan.
“Ini adalah peretas yang sudah memiliki kemampuan dan sudah memiliki operasi ini,” katanya. “Ini mampu meningkatkan operasi penjahat cyber ini secara drastis, dan mereka dapat membuat kode jahat jauh lebih cepat.”
Moussouris setuju. “Akselerasi adalah apa yang akan membuatnya sangat sulit untuk dikendalikan,” katanya.
Hunted Labs ‘Smith juga mengatakan bahwa ancaman nyata dari kode yang dihasilkan AI ada di tangan seseorang yang sudah mengetahui kode masuk dan keluar yang menggunakannya untuk meningkatkan serangan. “Ketika Anda bekerja dengan seseorang yang memiliki pengalaman mendalam dan Anda menggabungkannya dengan, ‘Hei, saya bisa melakukan hal -hal yang jauh lebih cepat yang jika tidak akan memakan waktu beberapa hari atau tiga hari, dan sekarang saya butuh 30 menit.’ Itu bagian yang sangat menarik dan dinamis dari situasi ini, ”katanya.
Menurut Smith, seorang peretas yang berpengalaman dapat merancang sistem yang mengalahkan banyak perlindungan keamanan dan belajar seperti itu. Sedikit kode jahat akan menulis ulang muatannya yang berbahaya saat belajar dengan cepat. “Itu akan benar -benar gila dan sulit untuk diuji coba,” katanya.
Smith membayangkan sebuah dunia di mana 20 peristiwa nol hari semuanya terjadi pada saat yang sama. “Itu membuatnya sedikit lebih menakutkan,” katanya.
Moussouris mengatakan bahwa alat untuk membuat serangan semacam itu ada kenyataan sekarang. “Mereka cukup baik di tangan operator yang cukup baik,” katanya, tetapi AI belum cukup baik untuk peretas yang tidak berpengalaman untuk beroperasi secara langsung.
“Kami tidak cukup di sana dalam hal AI dapat sepenuhnya mengambil alih fungsi manusia dalam keamanan ofensif,” katanya.
Ketakutan utama yang dikatakan kode chatbot adalah bahwa siapa pun akan dapat melakukannya, tetapi kenyataannya adalah bahwa aktor canggih dengan pengetahuan yang mendalam tentang kode yang ada jauh lebih menakutkan. Xbow mungkin merupakan hal terdekat dengan “peretas AI” otonom yang ada di alam liar, dan itu adalah penciptaan tim yang terdiri dari lebih dari 20 orang yang terampil yang pengalaman kerja sebelumnya termasuk GitHub, Microsoft, dan setengah lusin perusahaan keamanan.
Itu juga menunjuk pada kebenaran lain. “Pertahanan terbaik melawan orang jahat dengan AI adalah orang baik dengan AI,” kata Benedict.
Bagi Moussouris, penggunaan AI oleh Blackhats dan Whitehats hanyalah evolusi berikutnya dari perlombaan senjata cybersecurity yang dia saksikan dibuka selama 30 tahun. “Mulai dari: ‘Saya akan melakukan peretasan ini secara manual atau membuat eksploitasi khusus saya sendiri,’ untuk, ‘Saya akan membuat alat yang dapat dijalankan siapa pun dan melakukan beberapa cek ini secara otomatis,’” katanya.
“AI hanyalah alat lain di kotak peralatan, dan mereka yang tahu cara mengarahkannya dengan tepat sekarang akan menjadi orang yang membuat frontend bergetar yang bisa digunakan siapa pun.”
