Site icon Kiber.ba

Od zloupotrebe do zlostavljanja: Vjestačka inteligencija rizici i napadi

Od zloupotrebe do zlostavljanja: Vjestačka inteligencija rizici i napadi-Kiber.ba

Od zloupotrebe do zlostavljanja: Vjestačka inteligencija rizici i napadi-Kiber.ba

Vjestačka inteligencija iz perspektive napadača: Pogledajte kako cyber kriminalci koriste vjestačku inteligenciju i iskorištavaju njene ranjivosti da bi kompromitirali sisteme, korisnike, pa čak i druge aplikacije vjestačke inteligencije

Cyber kriminalci i vještačka inteligencija: stvarnost

“Vjestačka inteligencija neće zamijeniti ljude u bliskoj budućnosti. Ali ljudi koji znaju kako koristiti vjestačku inteligenciju zamijenit će one ljude koji ne znaju koristiti vjestačku inteligenciju”, kaže Etay Maor, glavni sigurnosni strateg u Cato Networks i jedan od osnivača Cato CTRL . „Slično, napadači se takođe okreću vještačkoj inteligenciji kako bi povećali sopstvene sposobnosti.“

Ipak, oko uloge vještačke inteligencije u cyber kriminalu postoji mnogo više propagande nego stvarnosti. Naslovi često senzacionalizuju prijetnje vještačkom inteligencijom, s terminima kao što su “Chaos-GPT” i “Black Hat AI Tools”, čak i tvrdeći da nastoje uništiti čovječanstvo. Međutim, ovi članci više izazivaju strah nego opisuju ozbiljne prijetnje.

Na primjer, kada se istražuje na podzemnim forumima, pokazalo se da nekoliko ovih takozvanih “vještačka inteligencija cyber alata” nisu ništa drugo do rebrendirane verzije osnovnih javnih LLM-a bez naprednih mogućnosti. U stvari, čak su ih ljutiti napadači označili kao prevare.

Kako hakeri zaista koriste vještačku inteligenciju u cyber napadima

U stvarnosti, cyber kriminalci još uvijek smišljaju kako da efikasno iskoriste vještačku inteligenciju . Oni imaju iste probleme i nedostatke kao i legitimni korisnici, poput halucinacija i ograničenih sposobnosti. Prema njihovim predviđanjima, biće potrebno nekoliko godina pre nego što budu u stanju da efikasno iskoriste GenAI za potrebe hakovanja.

Za sada se GenAI alati uglavnom koriste za jednostavnije zadatke, poput pisanja phishing emailova i generisanja isječaka koda koji se mogu integrisati u napade. Osim toga, primijetili smo kako napadači daju kompromitovani kod vještačke inteligencije sistemima za analizu, kao pokušaj da se takav kod “normalizuje” kao nezlonamjeran.

Upotreba vještačke inteligencije za zloupotrebu vještačke inteligencije: Uvođenje GPT-ova

GPT-ovi, koje je OpenAI uveo 6. novembra 2023., su prilagodljive verzije ChatGPT-a koje omogućavaju korisnicima da dodaju određena uputstva, integrišu eksterne API-je i inkorporiraju jedinstvene izvore znanja. Ova funkcija omogućava korisnicima da kreiraju visoko specijalizirane aplikacije, kao što su botovi za tehničku podršku, obrazovne alate i još mnogo toga. Osim toga, OpenAI nudi programerima opcije monetizacije za GPT, putem namjenskog tržišta.

Zloupotreba GPT-ova

GPT uvode potencijalne sigurnosne probleme. Jedan značajan rizik je izlaganje osjetljivih instrukcija, vlasničkog znanja ili čak API ključeva ugrađenih u prilagođeni GPT. Maliciozni hakeri mogu koristiti vještačku inteligenciju, posebno brzi inženjering, da repliciraju GPT i iskoriste njegov potencijal monetizacije.

Napadači mogu koristiti upite za preuzimanje izvora znanja, instrukcija, konfiguracijskih datoteka i još mnogo toga. Ovo može biti jednostavno kao da zatražite od prilagođenog GPT-a da navede sve učitane datoteke i prilagođene upute ili zatražite informacije o otklanjanju grešaka. Ili, sofisticirani, poput zahtjeva od GPT-a da zipuje jednu od PDF datoteka i kreira vezu za preuzimanje, tražeći od GPT-a da navede sve svoje mogućnosti u formatu strukturirane tablice i još mnogo toga.

„Čak i zaštite koje su programeri postavili mogu se zaobići i svo znanje se može izvući“, kaže Vitalij Simonovich, istraživač Threat Intelligence u Cato Networks i član Cato CTRL-a.

Ovi rizici se mogu izbjeći na sljedeći način:

Vještačka inteligencija napadi i rizici

Danas postoji više okvira koji pomažu organizacijama koje razmišljaju o razvoju i stvaranju softvera zasnovanog na vještačku inteligenciju:

LLM Attack Surface

Postoji šest ključnih LLM (model velikog jezika) komponenti koje mogu biti na meti napadača:

  1. Prompt – Napadi poput brzih injekcija, gdje se zlonamjerni unos koristi za manipulisanje izlazom vještačku inteligenciju

  1. Odgovor – Zloupotreba ili curenje osjetljivih informacija u odgovorima generisanim vještačkom inteligencijom

  1. Model – Krađa, trovanje ili manipulacija modela vještačke inteligencije

  1. Podaci o obuci – Uvođenje malicizonih podataka za promjenu ponašanja vještačke inteligencije.

  1. Infrastruktura – Ciljanje na servere i servise koji podržavaju vještačku inteligenciju

  1. Korisnici – Obmanjivanje ili iskorištavanje ljudi ili sistema koji se oslanjaju na izlaze vještačke inteligencije

Napadi i rizici u stvarnom svijetu

Završimo s nekim primjerima LLM manipulacija, koje se lako mogu koristiti na malicozni način.

Summing Up: Vještačka inteligencija u cyber kriminalu

Summing Up jemoćan alat i za odbrambene i za napadače. Kako cyber kriminalci nastavljaju eksperimentirati s vještačkom inteligencijom, važno je razumjeti kako razmišljaju, taktike koje koriste i opcije s kojima se suočavaju. Ovo će omogućiti organizacijama da bolje zaštite svoje sisteme vještačke inteligencije od zloupotrebe i zlostavljanja.

Izvor:The Hacker News

Exit mobile version