AI obsługujące komputer może pobrać złośliwe oprogramowanie
Sztuczna inteligencja rozwija się w zawrotnym tempie, ale z nowymi możliwościami przychodzą także nowe zagrożenia. Ostatnie odkrycia badaczy z dziedziny cyberbezpieczeństwa pokazują, że narzędzia AI mogą być podatne na ataki, a nawet posłużyć do tworzenia i uruchamiania złośliwego oprogramowania. O jakich podatnościach mowa i czy da się przed nimi uchronić?
W październiku 2024 roku firma Anthropic wprowadziła nowatorski model Claude 3.5 Sonnet z funkcją Computer Use, który pozwala sztucznej inteligencji na kontrolowanie komputera zupełnie jak człowiek - poprzez ruchy kursorem i wprowadzanie znaków niczym z klawiatury. Funkcja ta odbiła się szerokim echem jako rewolucyjna, z tego względu szybko stała się także celem badaczy bezpieczeństwa. Johann Rehnberger, ekspert ds. cyberbezpieczeństwa, wykazał, że AI może zostać zmanipulowane za pomocą ataku typu prompt injection.
Rehnberger zademonstrował, jak nową wersję Claude’a można skłonić do pobrania i uruchomienia złośliwego oprogramowania oraz komunikacji z infrastrukturą sterowania atakami. Co więcej, narzędzie okazało się zdolne do użycia frameworka Sliver, który, choć pierwotnie zaprojektowany do testów bezpieczeństwa, jest często wykorzystywany przez cyberprzestępców do przejmowania kontroli nad systemami.
Czym jest atak prompt injection?
Ataki typu prompt injection polegają na wprowadzeniu do systemu AI treści, które manipulują jego działaniem. W przypadku Claude 3.5 z funkcją Computer Use, manipulacja polegała na przekonaniu modelu do wykonania poleceń sprzecznych z jego przeznaczeniem.
Co ciekawe, Claude jest w stanie nie tylko pobierać i uruchamiać istniejące złośliwe oprogramowanie, ale także tworzyć je od podstaw. Rehnberger podkreślił, że AI może pisać, kompilować i uruchamiać kod w języku C, co stawia przed branżą cyberbezpieczeństwa zupełnie nowe wyzwania.
Potencjalne zagrożenia
Rehnberger nazwał swój eksperyment ZombAIs, sugerując, że narzędzia AI mogą stać się „cybernetycznymi zombie”, które zamiast pomagać, będą służyć cyberprzestępcom. Sliver, framework użyty w eksperymencie, pozwala na utrzymanie trwałego dostępu do zainfekowanych systemów, wykonywanie poleceń i zarządzanie atakami.
Choć Anthropic zaznaczył, że Claude 3.5 z funkcją Computer Use znajduje się w fazie beta i wymaga izolacji od wrażliwych danych, przykład ten pokazuje, jak podatne mogą być podobne narzędzia na nieautoryzowane wykorzystanie.
Claude 3.5 nie jest jedynym narzędziem narażonym na tego rodzaju manipulacje. Rehnberger zaznaczył, że istnieje wiele innych sposobów na wykorzystanie AI w celu kompromitacji systemów informatycznych.