Πώς αντιδρά το Dark Web στην επανάσταση της AI;
Μια γρήγορη αναζήτηση για το “
ChatGPT
” στον σκοτεινό ιστό και στο Telegram δείχνει 27.912 αναφορές τους τελευταίους έξι μήνες.
Πολλά έχουν γραφτεί για το ενδεχόμενο των απειλών να χρησιμοποιούν γλωσσικά μοντέλα. Με μοντέλα ανοιχτού κώδικα μεγάλων γλωσσών (LLM) όπως το LLaMA και το Orca, και τώρα το μοντέλο του εγκλήματος στον κυβερνοχώρο WormGPT, οι τάσεις γύρω από το
εμπορευματοποίηση του εγκλήματος στον κυβερνοχώρο
και οι αυξανόμενες δυνατότητες των μοντέλων πρόκειται να συγκρούονται.
Οι φορείς απειλών συμμετέχουν ήδη σε αυστηρές συζητήσεις σχετικά με το πώς μπορούν να χρησιμοποιηθούν τα γλωσσικά μοντέλα για τα πάντα, από τον εντοπισμό εκμεταλλεύσεων 0 ημερών έως τη χειροτεχνία
ψαρέματος με δόρυ
email.
Τα μοντέλα ανοιχτού κώδικα αντιπροσωπεύουν μια ιδιαίτερα συναρπαστική ευκαιρία για τους φορείς απειλών, καθώς δεν έχουν υποβληθεί σε ενισχυτική μάθηση με ανθρώπινη ανάδραση (RLHF) που επικεντρώνεται στην πρόληψη επικίνδυνων ή παράνομων απαντήσεων.
Αυτό επιτρέπει στους φορείς απειλών να τα χρησιμοποιούν ενεργά για να αναγνωρίζουν 0-days, να γράφουν emails spear-
phishing
και να εκτελούν άλλους τύπους εγκλήματος στον κυβερνοχώρο χωρίς την ανάγκη jailbreaks.
Εταιρεία διαχείρισης έκθεσης σε απειλές
Φωτοβολίδα
έχει εντοπίσει περισσότερα από 200.000 διαπιστευτήρια
OpenAI
που πωλούνται επί του παρόντος στον σκοτεινό ιστό με τη μορφή αρχείων καταγραφής κλέφτη.
Αν και αυτό είναι αναμφίβολα ανησυχητικό, τα στατιστικά μόνο αρχίζουν να ξύνουν την επιφάνεια των συμφερόντων των παραγόντων απειλών στα μοντέλα γλώσσας ChatGPT, GPT-4 και τεχνητής νοημοσύνης ευρύτερα.
Σελίδα σύνδεσης για μια πλατφόρμα phishing σε κλίμακα
Πηγή: Flare
Οι τάσεις συγκρούονται: Το οικοσύστημα του εγκλήματος στον κυβερνοχώρο και τα μοντέλα γλώσσας AI ανοιχτού κώδικα
Τα τελευταία πέντε χρόνια, υπήρξε μια δραματική ανάπτυξη στην εμπορευματοποίηση του εγκλήματος στον κυβερνοχώρο. Ένα τεράστιο υπόγειο δίκτυο υπάρχει τώρα σε όλη την Tor και
παράνομα κανάλια Telegram
όπου οι εγκληματίες του κυβερνοχώρου αγοράζουν και πωλούν προσωπικές πληροφορίες, πρόσβαση στο δίκτυο, διαρροές δεδομένων, διαπιστευτήρια, μολυσμένες συσκευές, υποδομές επιθέσεων, ransomware και άλλα.
Οι εμπορικά προσανατολισμένοι εγκληματίες στον κυβερνοχώρο πιθανότατα θα χρησιμοποιούν όλο και περισσότερο ταχέως πολλαπλασιαζόμενα μοντέλα γλώσσας AI ανοιχτού κώδικα. Η πρώτη τέτοια εφαρμογή, WormGPT, έχει ήδη δημιουργηθεί και πωλείται έναντι μηνιαίας χρέωσης πρόσβασης.
Προσαρμοσμένο Spear-phishing σε κλίμακα
Το Phishing-aa-Service (PhaaS) υπάρχει ήδη και παρέχει έτοιμη υποδομή για την έναρξη εκστρατειών phishing με μηνιαία χρέωση.
Υπάρχουν ήδη εκτενείς συζητήσεις μεταξύ των παραγόντων απειλών που χρησιμοποιούν το WormGPT για να διευκολύνουν ευρύτερες, εξατομικευμένες επιθέσεις phishing.
Η χρήση γενετικής τεχνητής νοημοσύνης πιθανότατα θα επιτρέψει στους εγκληματίες του κυβερνοχώρου να εξαπολύσουν επιθέσεις εναντίον χιλιάδων χρηστών με εξατομικευμένα μηνύματα που προέρχονται από δεδομένα από λογαριασμούς μέσων κοινωνικής δικτύωσης,
Πηγές OSINT
και διαδικτυακές βάσεις δεδομένων, αυξάνοντας δραματικά την απειλή για τους εργαζομένους από το ηλεκτρονικό ψάρεμα.
Ένας ηθοποιός απειλών εξηγεί το WormGPT
Πηγή: Flare
“Αύριο, το API-WormGPT θα παρέχεται από το κανάλι
Galaxy
dev, η κατάσταση αιτήματος είναι απεριόριστη και θα υπολογίζεται περιοδικά, και για να χρησιμοποιήσετε το API-WORMGPT, θα πρέπει να λάβετε ένα API-KEY. Τα τελευταία νέα θα ανακοινωθούν”, διαφημίζει ένας ηθοποιός απειλών το WormGPT στο Telegram.
“Εάν δεν ξέρετε τι είναι το WORMGPT: Αυτό το WORMGPT είναι μια απεριόριστη έκδοση του CHATGPT, σχεδιασμένο από χάκερ και κατασκευασμένο για παράνομη εργασία, όπως phishing και κακόβουλο λογισμικό κ.λπ., χωρίς ηθικές πηγές.”
Αυτοματοποιημένη αναγνώριση εκμετάλλευσης και έκθεσης
Έργα όπως
BabyAGI
Επιδιώξτε να χρησιμοποιήσετε γλωσσικά μοντέλα για να ανατρέξετε στις σκέψεις και να πραγματοποιήσετε ενέργειες στο διαδίκτυο και ενδεχομένως στον πραγματικό κόσμο. Όπως έχουν τα πράγματα σήμερα, πολλές εταιρείες δεν έχουν πλήρη ορατότητα της επιφάνειας επίθεσης τους.
Βασίζονται σε παράγοντες απειλών που δεν εντοπίζουν γρήγορα μη επιδιορθωμένες υπηρεσίες, διαπιστευτήρια και κλειδιά API που εκτίθενται σε δημόσια αποθετήρια GitHub και άλλες μορφές έκθεσης δεδομένων υψηλού κινδύνου.
Τα ημιαυτόνομα γλωσσικά μοντέλα θα μπορούσαν γρήγορα και απότομα να αλλάξουν το τοπίο της απειλής αυτοματοποιώντας την ανίχνευση έκθεσης σε κλίμακα για τους παράγοντες απειλών.
Αυτήν τη στιγμή, οι φορείς απειλών βασίζονται σε ένα συνδυασμό εργαλείων που χρησιμοποιούνται από επαγγελματίες της κυβερνοασφάλειας και σε χειροκίνητη προσπάθεια για τον εντοπισμό έκθεσης που μπορεί να δώσει αρχική πρόσβαση σε ένα σύστημα.
Πιθανότατα απέχουμε χρόνια ή και μήνες από συστήματα που όχι μόνο μπορούν να ανιχνεύσουν προφανή έκθεση, όπως διαπιστευτήρια σε ένα αποθετήριο, αλλά ακόμη και να εντοπίσουν νέες εκμεταλλεύσεις 0 ημερών σε εφαρμογές, μειώνοντας δραματικά τον χρόνο που πρέπει οι ομάδες ασφαλείας να ανταποκριθούν σε εκμεταλλεύσεις και έκθεση δεδομένων.
Vishing και Deepfakes
Η πρόοδος στη γενετική τεχνητή νοημοσύνη φαίνεται επίσης ότι θα δημιουργήσει ένα εξαιρετικά απαιτητικό περιβάλλον για επιθέσεις vishing. Οι υπηρεσίες που βασίζονται στην τεχνητή νοημοσύνη μπορούν ήδη να αντιγράψουν ρεαλιστικά τον ήχο της φωνής ενός ατόμου με λιγότερο από 60 δευτερόλεπτα ήχου και η τεχνολογία deepfake συνεχίζει να βελτιώνεται.
Αυτήν τη στιγμή τα βαθιά ψεύτικα παραμένουν στην παράξενη κοιλάδα, καθιστώντας τα κάπως προφανή. Ωστόσο, η τεχνολογία προχωρά με ταχείς ρυθμούς και οι ερευνητές συνεχίζουν να δημιουργούν και να αναπτύσσουν πρόσθετα έργα ανοιχτού κώδικα.
Το WormGPT απαντά σε μια προτροπή που ζητά να γραφεί ένα παράδειγμα κακόβουλου λογισμικού στην python
Πηγή: Flare
Υπάρχουν ήδη LLM ανοιχτού κώδικα που επικεντρώνονται σε δραστηριότητες κόκκινης ομαδικότητας όπως π.χ
GPT με στυλό
.
Η λειτουργικότητα και η εξειδίκευση ενός μοντέλου εξαρτάται σε μεγάλο βαθμό από μια διαδικασία πολλαπλών βημάτων που περιλαμβάνει τα δεδομένα στα οποία εκπαιδεύεται το μοντέλο, την ενίσχυση της μάθησης με ανθρώπινη ανατροφοδότηση και άλλες μεταβλητές.
«Υπάρχουν μερικά πολλά υποσχόμενα μοντέλα ανοιχτού κώδικα, όπως το orca, τα οποία υπόσχονται ότι θα μπορούν να βρουν 0days εάν ήταν συντονισμένα σε κώδικα», εξηγεί ένας ηθοποιός απειλών που συζητά το Orca LLM της
Microsoft
.
Τι σημαίνει αυτό για τις ομάδες ασφαλείας;
Το περιθώριο λάθους σας ως αμυντικός πρόκειται να μειωθεί σημαντικά. Η μείωση του θορύβου SOC για εστίαση σε συμβάντα υψηλής αξίας και η βελτίωση του μέσου χρόνου ανίχνευσης (MTTD) και του μέσου χρόνου απόκρισης (MTTR) για έκθεση υψηλού κινδύνου, είτε στον σκοτεινό είτε στον καθαρό ιστό, θα πρέπει να αποτελούν προτεραιότητα.
Η υιοθέτηση της τεχνητής νοημοσύνης για την ασφάλεια στις εταιρείες πιθανότατα θα κινηθεί πολύ πιο αργά από ό,τι για τους επιτιθέμενους, δημιουργώντας μια ασυμμετρία που θα επιχειρήσουν να εκμεταλλευτούν οι αντίπαλοι.
Οι ομάδες ασφαλείας πρέπει να δημιουργήσουν ένα αποτελεσματικό πρόγραμμα διαχείρισης επιφανειών επίθεσης, να διασφαλίσουν ότι οι εργαζόμενοι λαμβάνουν ουσιαστική εκπαίδευση για τα deepfakes και το spear-phishing, αλλά πέρα από αυτό, να αξιολογήσουν πώς μπορεί να χρησιμοποιηθεί η τεχνητή νοημοσύνη για τον γρήγορο εντοπισμό και την αποκατάσταση κενών στην περίμετρο ασφαλείας σας.
Η ασφάλεια είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος, και η τεχνητή νοημοσύνη πρόκειται να κάνει αυτόν τον αδύναμο κρίκο πολύ πιο εύκολο να βρεθεί.
Σχετικά με τον Έρικ Κλέι
Ο Έρικ είναι Ερευνητής Ασφαλείας στο
Φωτοβολίδα
, μια πλατφόρμα παρακολούθησης έκθεσης σε απειλές. Έχει εμπειρία σε αναλύσεις δεδομένων ασφαλείας, έρευνα ασφάλειας και εφαρμογές τεχνητής νοημοσύνης στον κυβερνοχώρο.
Χορηγός και συγγραφή από
Φωτοβολίδα
