Google остановил первый эксплойт нулевого дня, разработанный искусственным интеллектом
Команда Google по анализу угроз обнаружила и остановила уязвимость нулевого дня, созданную с помощью искусственного интеллекта. Узнайте, как они обнаружили эксплойт.
Важным событием в сфере кибербезопасности компания Google объявила об обнаружении и предотвращении того, что, как она утверждает, является первым эксплойтом нулевого дня, намеренно разработанным с помощью искусственного интеллекта. Это открытие представляет собой критический момент в понимании того, как субъекты угроз начинают использовать технологию искусственного интеллекта в злонамеренных целях, сигнализируя о новом рубеже угроз цифровой безопасности, от которого организации по всему миру должны подготовиться к защите.
Согласно подробному отчету, опубликованному Группой анализа угроз Google (GTIG), сеть известных киберпреступников активно планировала использовать эту уязвимость, созданную искусственным интеллектом, в рамках скоординированной «массовой эксплуатации». Основная цель этой атаки заключалась в компрометации неназванного веб-инструмента системного администрирования с открытым исходным кодом путем обхода его мер безопасности двухфакторной аутентификации — важнейшего уровня защиты, на который полагаются бесчисленные организации и частные лица по всему миру.
Уязвимость была обнаружена в результате тщательного анализа сценария Python, использованного в эксплойте, в ходе которого исследователи безопасности Google выявили несколько характерных маркеров, указывающих на участие искусственного интеллекта в его создании. Эти отличительные сигнатуры включали в себя вымышленную оценку CVSS (Common Vulnerability Scoring System), которая содержала неточности, несовместимые с законными оценками уязвимости, а также удивительно структурированные шаблоны форматирования, напоминающие учебники, которые характерны для контента, созданного с помощью больших языковых моделей.
Последствия этого открытия выходят далеко за рамки одной предотвращенной атаки. Этот инцидент демонстрирует, что злоумышленники активно экспериментируют и внедряют инструменты искусственного интеллекта для расширения своих наступательных возможностей, потенциально автоматизируя и ускоряя процесс выявления, разработки и масштабного внедрения эксплойтов. Использование ИИ при разработке уязвимостей может значительно снизить технические барьеры для участия в сложных хакерских операциях.
Методология обнаружения Google дает ценную информацию о том, как специалисты по безопасности смогут выявлять вредоносные программы и эксплойты с помощью искусственного интеллекта в будущем. Понимая характерные закономерности и особенности вывода языковой модели, такие как галлюцинаторная оценка CVSS и чрезмерно структурированное форматирование, защитники могут разработать новые механизмы обнаружения и поведенческие сигнатуры, которые помогут идентифицировать аналогичные угрозы до того, как они достигнут производственной среды.
Целевая система, хотя и не названа конкретно в публичном раскрытии, описывается как широко используемый инструмент администрирования с открытым исходным кодом, который предоставил бы злоумышленникам обширный доступ к системам во многих организациях, если бы попытка эксплуатации увенчалась успехом. Возможность обхода двухфакторной аутентификации была бы особенно разрушительной, поскольку эффективно нейтрализовала бы один из наиболее эффективных защитных механизмов, используемых как предприятиями, заботящимися о безопасности, так и отдельными пользователями.
Это открытие согласуется с растущей обеспокоенностью специалистов по кибербезопасности потенциалом двойного назначения передовых систем искусственного интеллекта. Хотя эти технологии предлагают огромные преимущества для защитных приложений, исследователи и эксперты по безопасности предупреждают, что их возможности также могут быть использованы злоумышленниками в качестве оружия. Инцидент подтверждает эти опасения, демонстрируя, что команды безопасности активно отслеживают и способны обнаружить такие угрозы до того, как будет нанесен масштабный ущерб.
Объявление Google было сделано на фоне более широких дискуссий в отрасли об ответственной разработке и внедрении искусственного интеллекта. Эксперты по безопасности подчеркивают, что организации, разрабатывающие системы искусственного интеллекта, должны учитывать потенциальные сценарии неправомерного использования и внедрять меры безопасности, чтобы предотвратить перепрофилирование их технологий для кибератак. Сюда входит мониторинг необычных моделей использования и введение ограничений на применение определенных возможностей ИИ.
Для организаций, которые полагаются на целевой инструмент администрирования с открытым исходным кодом, этот инцидент служит важным напоминанием о важности поддержания надежных методов обеспечения безопасности на нескольких уровнях защиты. Несмотря на то, что уязвимость нулевого дня была предотвращена от широкого использования, это открытие подчеркивает, что даже зрелые, широко проверенные проекты с открытым исходным кодом могут содержать ранее неизвестные недостатки безопасности, которые активно пытаются использовать опытные злоумышленники.
Группа анализа угроз Google, которая возглавила расследование, зарекомендовала себя как лидер в выявлении новых моделей угроз и методологий атак. Организация постоянно анализирует миллионы образцов вредоносного ПО, обнаруженные уязвимости и модели атак, чтобы опережать развивающиеся угрозы. Это последнее открытие демонстрирует их передовые аналитические возможности и стремление защитить не только инфраструктуру Google, но и более широкую интернет-экосистему.
Более широкие последствия разработки уязвимостей с помощью ИИ начинают менять подходы всей индустрии кибербезопасности к моделированию угроз и стратегиям защиты. Команды безопасности сейчас решают вопросы о том, как защититься от атак, которые могли быть частично или полностью автоматизированы с помощью искусственного интеллекта, и что это означает для будущего операций кибербезопасности и распределения ресурсов.
По мере появления более подробной информации об этом инциденте и подобных случаях сообщество кибербезопасности, скорее всего, разработает новые структуры для выявления, анализа и защиты от эксплойтов, созданных ИИ. Это включает в себя понимание уникальных «отпечатков пальцев», оставляемых различными моделями искусственного интеллекта, создание правил обнаружения на основе выходных характеристик языковой модели и разработку программ обучения, которые помогут аналитикам безопасности распознавать эти закономерности в реальных сценариях.
Этот инцидент также подчеркивает исключительную важность быстрого раскрытия уязвимостей и процессов исправления. Даже при наличии наилучших возможностей обнаружения решающее значение имеет период между обнаружением уязвимости и ее публичным раскрытием. Организации должны иметь надежные процессы для быстрого развертывания исправлений и определения приоритетности исправлений критических недостатков, которые могут привести к массовой эксплуатации.
В дальнейшем это открытие, вероятно, повлияет на то, как технологические компании подходят к исследованиям в области безопасности, обмену информацией об угрозах и практике ответственного раскрытия информации. Тот факт, что Google смог идентифицировать и проанализировать природу эксплойта, созданного ИИ, позволяет предположить, что защитные приложения ИИ могут быть столь же эффективными в выявлении и смягчении возникающих угроз, прежде чем они причинят значительный вред.
Источник: The Verge
