Toronto universiteto tyrėjų ir kibernetinio saugumo įmonės „CleverHans“ sukurta koncepcijai įrodyti skirta kenkėjiška programa sujungia lokaliai veikiantį didįjį kalbos modelį (LLM) su autonominiu programinės įrangos agentu, kuris gali nuskenuoti tinklus, įvertinti galimus atakų kelius ir nuspręsti, kaip pažeisti naujus taikinius be žmogaus įsikišimo. Tyrėjai teigia, kad šis darbas rodo, kaip DI gali padėti kenkėjiškai programai prisitaikyti prie nepažįstamos aplinkos, o ne pasikliauti vienu iš anksto užprogramuotu pažeidžiamumu.
Eksperimentuose, aprašytuose naujame tyrime, birželio 2 d. įkeltame į išankstinio publikacijų serverį „arXiv“, „kirminas“ buvo išbandytas imituotame įmonės tinkle, kuriame buvo 33 pagrindiniai kompiuteriai, įskaitant „Linux“ serverius, „Windows“ darbo stotis ir kitus prie interneto prijungtus įrenginius (IoT). Tyrėjai nustatė, kad sistema per savaitę identifikavo pažeidžiamumus, užpuolė naujus kompiuterius ir replikavosi maždaug 62 proc. tinklo.
„Pagrindinis atradimas yra tas, kad tokio tipo sistema gali daugiau nei tik aptikti fiksuotą spragą. Ji gali ištirti tikslinę aplinką, samprotauti apie galimus pažeidžiamumus, naudoti įrankius testinėms atakoms ir po sėkmingo įsilaužimo atkartoti save“, – sakė Vašingtono Trejybės universiteto informacinių technologijų profesorius Michaelas Agee, kuris nedalyvavo tyrime.
Dirbtinis intelektas karyboje: ar mašina galės savarankiškai priimti sprendimą naikinti priešą?
Kaip veikia DI kirminas?
Sistema buvo gana paprasta. Tyrėjai paėmė atvirojo kodo LLM (kurio mokymo duomenys yra viešai prieinami), veikiantį vietinėje aparatinėje įrangoje, ir prijungė jį prie programinės įrangos sistemos, kuri galėjo skenuoti tinklus, rinkti informaciją apie tikslines sistemas ir vykdyti atakas. Dirbtinio intelekto vaidmuo buvo interpretuoti tai, ką jis rado, ir nuspręsti, kur eiti toliau.
„DI valdoma atakos dalis daugiausia yra samprotavimai ir sprendimų priėmimas, – sako M. Agee. – LLM stebuklingai nelaužo sistemos; ji naudojama samprotauti apie tai, ką reiškia informacija, siūlyti galimas atakos strategijas, nuspręsti, kurį įrankį ar veiksmą reikėtų išbandyti toliau, ir padėti koreguoti požiūrį, kai kas nors nepavyksta.“
Kitaip tariant, toks „kirminas“ neišranda naujų būdų įsilaužti į sistemas. Vietoj to, jis renka informaciją apie mašinas tinkle, lygina ją su žinomais pažeidžiamumais ir trūkumais ir nusprendžia, kuris kelias greičiausiai bus sėkmingas.
Bobas Hutchinsas, dėstantis dirbtinio intelekto strategijos kursus Lipskombo universitete JAV, teigė, kad inovacija slypi sistemos gebėjime prisitaikyti.
Susiję straipsniai
„Tradiciniai „kirminai“ laikosi iš anksto nustatytos sekos: kai pažeidžiamumas nustatomas, „kirminas“ dauginasi, – aiškina jis. – Priešingai, tyrėjai įrodė, kad lengvai atsisiunčiamas dirbtinio intelekto modelis gali būti naudojamas kaip „kirmino“ sprendimų priėmimo komponentas. Kirminas analizuotų kiekvieną įrenginį, su kuriuo susiduria, ir identifikuotų efektyviausią strategiją įsilaužti į tą konkrečią sistemą.“
„Intelektas neegzistuoja atrandant naujus pažeidžiamumus – veikiau intelektas egzistuoja nustatant, kaip greitai užpuolikas gali pasirinkti ir sekti atakas prieš anksčiau nustatytus pažeidžiamumus“, – pridūrė jis.
Kuo šis DI „kirminas“ skiriasi nuo įprastos kenkėjiškos programos?
Tyrėjai taip pat sukūrė kirminą taip, kad jis veiktų skirtingos skaičiavimo galios įrenginiuose. Galingesnės infekuotos mašinos, aprūpintos grafikos procesoriais (GPU), galėtų teikti samprotavimo paslaugas nedideliems agentams, veikiantiems mažiau galinguose įrenginiuose kitur tinkle.
„Ypač pavojingas išmanus daugiapakopis dizainas, – sako Atvirojo technologijos instituto dirbtinio intelekto ir kibernetinio saugumo profesorius Tomas Vazdaras. – GPU aprūpintos infekuotos mašinos suteikė samprotavimo galimybę nedideliems agentams, veikiantiems mažai energijos naudojančiuose daiktų interneto įrenginiuose, kurie negalėjo savyje paleisti dirbtinio intelekto modelio. Kamera tampa mąstančiu mazgu atakų tinkle, o ne tik dar vienomis durimis.“
Tyrimas, kuris dar nebuvo recenzuotas, buvo paskelbtas tuo metu, kai valdžia, saugumo ekspertai ir dirbtinio intelekto įmonės toliau diskutuoja, ar generatyvinis dirbtinis intelektas palengvins sudėtingų kibernetinių atakų vykdymą. Viena iš priežasčių, kodėl tyrimas patraukė dėmesį, yra ta, kad tyrėjai nesirėmė didelių dirbtinio intelekto įmonių – tokių kaip „OpenAI“ „ChatGPT“ ar „Anthropic“ „Claude“ – sukurtu pažangiu modeliu. Vietoj to jie naudojo daug mažesnį atviro kodo modelį, kurį galima parsisiųsti ir paleisti neprisijungus prie interneto įprastuose kompiuteriuose.
„Demonstracijos metu tyrėjai naudojo nedidelius atviro kodo modelius, kuriuos gana lengva parsisiųsti, nuimti apsauginius komponentus ir naudoti“, – teigia B. Hutchinsas. – Naudodami tokio tipo modelius, tyrėjai suabejojo ilgalaike prielaida, kad tik pažangūs modeliai kelia su piktavališku naudojimu susijusią riziką.“
Vazdaras sako, kad tyrimas pabrėžia, kaip užpuolikai gali vis labiau automatizuoti užduotis, kurioms šiuo metu reikalingi kvalifikuoti žmonės. „Užpuoliko ribinės išlaidos sumažėja iki nulio. Ir jūs negalite išsisukti iš šios situacijos, nes ji nesiremia viena pažeidžiamumo klase. Tai samprotauja. Užtaisykite vieną spragą ir randa kitą“, – teigė jis.
Ar užpuolikai galėtų naudoti šį dirbtinio intelekto kirminą realiame pasaulyje?
Tačiau ne visi ekspertai sutinka su šiuo vertinimu. Nors tyrėjai apibūdino sistemą kaip galinčią atakuoti įvairius įrenginius, kai kurie perspėjo, kad demonstracija vyko griežtai kontroliuojamoje aplinkoje, skirtoje pademonstruoti koncepcijai .
„Tai geriausiu atveju laboratorinis koncepcijos įrodymas taikiniais gausioje bandymų aplinkoje, – sakė M. Agee. Bandymų tinkle buvo daug specialiai pažeidžiamų sistemų ir trūko aktyvių galinių taškų apsaugos. – Straipsnyje parodyta, kad šis metodas yra įmanomas, tačiau nebūtinai tai, kad ši ataka patikimai veiktų įprastai ar net minimaliai apsaugotame įmonės tinkle“.
Jis pažymėjo, kad „kirminas“ taip pat vykdė veiklą, kurią saugumo komandos galėjo aptikti, įskaitant tinklo skenavimą, pakartotinius bandymus išnaudoti spragas ir privilegijų eskalavimo elgesį.
„Net ir elementari stebėjimo sistema galėtų pastebėti kai kuriuos tokio elgesio požymius“, – teigia M. Agee.
B. Hutchinsas taip pat perspėjo neskubėti su išvadomis. „Teiginys „galėtų būti taikomasi į beveik bet kurį įrenginį“ yra techniškai teisingas, bet emociškai klaidinantis, – sako jis. – Bet kuris prie interneto prijungtas įrenginys, kuriame veikia pažeidžiamos programinės įrangos versijos, teoriškai yra pažeidžiamas pasitelkiant panašų mechanizmą. Tai dešimtmečius buvo kenkėjiško kodo realybė.“
Tyrėjas taip pat priduria, kad organizacijos vis dar gali apsiginti naudodamos daugelį tų pačių priemonių, kurios rekomenduojamos nuo įprastų kibernetinių atakų, įskaitant greitą pataisymų diegimą, stiprius slaptažodžius ir daugiafaktorinį autentifikavimą.
Nepaisant to, ekspertai iš esmės sutinka, kad tyrimas gali demonstruoti, kaip kenkėjiškos programos galėtų veikti ateityje. Užuot pasikliovusios fiksuotomis žmonių parengtomis instrukcijomis, būsima kenkėjiška programinė įranga galės savarankiškai priimti daug taktinių sprendimų.
„Ši ataka yra svarbi, nes ji rodo, kad LLM pagrindu veikiantis agentas gali suprasti skirtingus taikinius ir pritaikyti savo požiūrį“, – sako M. Agee.
B. Hutchinso nuomone, šis tyrimas galiausiai atspindi būtent tokį darbą, kokį turėtų atlikti akademiniai tyrėjai. Tyrimo autoriai „atlieka būtent tai, ką turėtų atlikti akademinė bendruomenė – tiria realią grėsmę kontroliuojamoje aplinkoje prieš tai, kai kenkėjiški veikėjai pradeda ją kurti už tos kontroliuojamos aplinkos ribų“, – teigia jis.
Ar užpuolikai taikys panašius metodus, dar sunku pasakyti. Tačiau tyrėjai parodė, kad gana mažas dirbtinio intelekto modelis jau gali atlikti reikšmingą vaidmenį planuojant ir vadovaujant kibernetinei atakai, rašo „Live Science“.