Wraz z rosnącą popularnością sztucznej inteligencji, coraz więcej mówi się o zagrożeniach z niej wynikających. Badania przeprowadzone przez zespół informatyków z University of Illinois Urbana-Champaign wskazują na pewne problemy wynikające z wykorzystania dużych modeli językowych opartych na AI w celu przeprowadzania ataków na strony internetowe.
W ich niedawno opublikowanym artykule naukowcy opisują, jak modele językowe mogą być "uzbrojone" w narzędzia umożliwiające im autonomiczne przeprowadzanie skomplikowanych ataków na strony internetowe, wykorzystując luki w zabezpieczeniach. Wyposażona w funkcje takie jak dostęp do interfejsów API czy automatyczne przeglądanie sieci, AI jest w stanie samodzielnie próbować łamać strony internetowe bez nadzoru człowieka.
Co jeszcze bardziej niepokojące, okazało się, że komercyjne modele oparte na AI wykazały się znacznie większą skutecznością w przeprowadzaniu ataków w porównaniu z modelami otwartoźródłowymi bez wsparcia AI. Badacze przetestowali 15 różnych luk w zabezpieczeniach i tylko tam, gdzie narzędzie miało dostęp do AI, można było mówić o pełnym sukcesie.
To, w jaki sposób te modele działają i jak radzą sobie z zadaniami, to tylko jedna strona medalu. Druga rzecz to analiza kosztów i implikacji dla bezpieczeństwa w dłuższej perspektywie. Według badań, wykorzystanie narzędzi opartych na SI jest znacznie tańsze niż zatrudnienie ekspertów, którzy przeprowadzą pentesty. Średni koszt ataku za pomocą narzędzia opartego na GPT-4 wyniósł jedynie 9,81 dolara na stronę internetową, pentester za jedną wziąłby "najbiedniej" 80 dolarów. To prawie dziesięć razy więcej.
W związku z tym, że AI cały czas się rozwija, pojawiają się istotne problemy. Istnieje obawa, że wkrótce takie narzędzia mogą stać się typowym "uzbrojeniem" hakerów, umożliwiając im przeprowadzanie zautomatyzowanych ataków na szeroką skalę. Ci raczej nie będą się ograniczać i z całą pewnością wykorzystają takie narzędzia w złych celach. Być może już nawet teraz to się dzieje.
Badacze z UIUC wskazują na to, że do rozwoju AI powinniśmy podchodzić w sposób maksymalnie odpowiedzialny. Naukowcy z tego ośrodka mają kontynuować swoje badania w tym zakresie, jednak w taki sposób, aby żadne z ich ustaleń nie dotarły do przestępców. Nie jest jednak tajemnicą dla nikogo, że ostatecznie hakerzy i tak opracują własne narzędzia oparte na sztucznej inteligencji.
OpenAI wcześniej bagatelizowało potencjał wykorzystania SI do przeprowadzania ataków. Teraz już nie są tacy pewni tego, że sztuczna inteligencja nie stanie się narzędziem w rękach przestępców: firma podkreśla potrzebę ciągłego poprawiania zabezpieczeń wewnątrz ich narzędzi. W miarę jak AI rozwija się, konieczne jest równoległe rozwijanie odpowiednich mechanizmów ochronnych oraz budowania kodeksów dobrych praktyk. Tylko, czy to wystarczy? Wiele osób — całkiem słusznie — ma wrażenie, że w kontekście AI odbywa się swego rodzaju wolna amerykanka: do jej trenowania korzysta się z niekoniecznie publicznych zbiorów danych, nie mamy nad nią kontroli, a i firmy odpowiadające za jej rozwój nie są odpowiednio nadzorowane. To prosta droga do katastrofy.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
