Дослідники продемонстрували, як штучний інтелект можна використати не лише для пошуку вразливостей в застосунках та вебсайтах, а й для їх автоматичної експлуатації. Команда з Університету Торонто застосувала публічно доступні моделі ШІ для створення прототипу «черв’яка», здатного використовувати будь-які відомі комп’ютерні вади. Такі черв’яки можуть поширюватися мережами та спричиняти хаос по всьому інтернету.
Зазвичай мережеві черв’яки створюються досвідченими програмістами під конкретні вразливості й зупиняються оновленням та виправленням цих дірок. Однак науковці з Університету Торонто, працюючи в закритому захищеному середовищі й дотримуючись суворих запобіжних заходів, використали відкриті (open-weight, open-source) моделі ШІ, щоб створити значно складніший прототип черв’яка, який поширювався тестовою мережею без будь-якого втручання людини.
Новий тип черв’яка адаптує свої атаки до різних типів вразливостей на кількох платформах, зокрема Linux, Windows і пристроях інтернету речей (IoT). Поширюючись мережею, він збирає дані, викрадає паролі й виявляє нові слабкі місця, що допомагає йому захоплювати інші машини. Якщо зараження на якомусь комп’ютері виявили й «залатали», черв’як може використати інші вразливості, щоб знову атакувати ту саму систему.
Більше того, черв’як «підживлює» себе, використовуючи обчислювальні ресурси заражених машин для власного «міркування» та планування подальших атак. «Хакери зазвичай були змушені зосереджуватися на найцінніших цілях, оскільки час і обчислювальні ресурси були обмеженими, — пояснює провідний автор дослідження Ніколя Паперно. — Але тепер, щойно черв’як запущено, вартість атак майже падає до нуля».
Загроза кібернападів із використанням ШІ стала особливо відчутною після запуску Anthropic моделі Mythos, здатної виявляти раніше невідомі вразливості у сфері кібербезпеки. За даними компанії, Mythos уже знайшла понад 10 000 вад, збільшивши швидкість пошуку помилок у партнерів більш ніж у десять разів. Cloudflare, яка захищає компанії від зловмисних атак, виявила завдяки моделі 2 000 таких вразливостей, з них близько 400 — високого або критичного рівня.
Створений дослідниками прототип черв’яка поки що здатен експлуатувати лише вже відомі вади й не може знаходити нові, як Mythos. Водночас нескладно уявити, як зловмисники можуть поєднати підходи: навчити черв’яка і виявляти, і одразу експлуатувати невідомі вразливості. У реальному середовищі це зробило б таку загрозу майже некерованою. «У взаємопов’язаному світі жодна система не є повністю захищеною від цієї небезпеки, — застерігає Паперно. — Публікація наших результатів — перший крок до того, щоб дослідники, бізнес і регулятори об’єдналися й швидко почали діяти».