هکرهای مخرب هوش مصنوعی مولد را به سلاح تبدیل می کنند

قابلیت های قدرتمند ChatGPT علیه سیستم های سازمانی استفاده می شود. بسته های مخرب و توهمات هوش مصنوعی تعدادی از تهدیدات رو به رشد هستند.

اگرچه به عنوان خوراک وبلاگ سوگند یاد می کنم، اما به نظرم رسید که  تیم تحقیقاتی Vulcan Cyber’s Voyager18 اخیراً توصیه‌ای صادر کرده است که تأیید می‌کند هوش مصنوعی مولد، مانند ChatGPT، به سرعت به سلاحی تبدیل می‌شود که آماده حمله به سیستم‌های مبتنی بر ابر در نزدیکی شماست. اکثر افراد داخلی محاسبات ابری منتظر این موضوع بوده اند.

روش های جدید برای حمله

یک تکنیک جدید نقض با استفاده از مدل زبان OpenAI ChatGPT پدیدار شده است. مهاجمان بسته های مخرب را در محیط توسعه دهندگان پخش می کنند. کارشناسان می بینند که ChatGPT URL ها، مراجع، کتابخانه های کد و توابعی را تولید می کند که وجود ندارند. بر اساس این گزارش، این “توهمات” ممکن است ناشی از داده های آموزشی قدیمی باشد. از طریق قابلیت‌های تولید کد ChatGPT، مهاجمان می‌توانند از کتابخانه‌های کد ساخته شده (بسته‌ها) که به طور مخرب توزیع شده‌اند، سوء استفاده کنند، همچنین از روش‌های مرسوم مانند typosquatting دور می‌زنند.

Typosquatting که به آن ربودن URL یا تقلید دامنه نیز می‌گویند، عملی است که در آن افراد یا سازمان‌ها نام‌های دامنه را مانند وب‌سایت‌های محبوب یا قانونی ثبت می‌کنند اما با اشتباهات نگارشی جزئی. هدف فریب کاربرانی است که هنگام وارد کردن URL اشتباه تایپی مشابهی انجام می دهند.

یک حمله دیگر شامل طرح سوال برای ChatGPT، درخواست بسته ای برای حل یک مشکل کدگذاری خاص، و دریافت توصیه های بسته های متعدد است که شامل برخی از آنها می شود که در مخازن قانونی منتشر نشده اند. با جایگزینی این بسته‌های موجود با بسته‌های مخرب، مهاجمان می‌توانند کاربران آینده را با تکیه بر توصیه‌های ChatGPT فریب دهند. اثبات مفهوم استفاده از ChatGPT 3.5 خطرات بالقوه را اثبات می کند.

البته راه هایی برای دفاع در برابر این نوع حمله وجود دارد. توسعه دهندگان باید با بررسی تاریخ ایجاد و تعداد دانلود، کتابخانه ها را به دقت بررسی کنند. با این حال، اکنون که با این تهدید مقابله می کنیم، برای همیشه نسبت به بسته های مشکوک شک خواهیم داشت.

برخورد با تهدیدات جدید

عنوان اینجا این نیست که این تهدید جدید وجود دارد. این فقط یک مسئله زمان بود که تهدیدهایی که توسط قدرت مولد هوش مصنوعی ایجاد می شدند ظاهر شدند. باید راه‌های بهتری برای مبارزه با این نوع تهدیدها وجود داشته باشد که احتمالاً از آنجایی که بازیگران بد یاد می‌گیرند از هوش مصنوعی مولد به عنوان یک سلاح مؤثر استفاده کنند، رایج‌تر می‌شوند.

اگر امیدواریم جلوتر بمانیم، باید از هوش مصنوعی مولد به عنوان مکانیزم دفاعی استفاده کنیم. این به معنای تغییر از واکنش پذیر بودن (رویکرد معمول سازمانی امروزی)، به فعال بودن با استفاده از تاکتیک هایی مانند قابلیت مشاهده و سیستم های امنیتی مبتنی بر هوش مصنوعی است.

چالش این است که متخصصان امنیت ابری و توسعه دهندگان باید بازی خود را تقویت کنند تا از چرخه اخبار ۲۴ ساعته خودداری کنند. این به معنای افزایش سرمایه گذاری در امنیت در زمانی است که بسیاری از بودجه های فناوری اطلاعات در حال کاهش هستند. اگر هیچ پاسخ فعالی برای مدیریت این ریسک‌های نوظهور وجود نداشته باشد، ممکن است مجبور شوید هزینه و تأثیر یک نقض قابل‌توجه را قیمت گذاری کنید، زیرا احتمالاً چنین چیزی را تجربه خواهید کرد.

البته، این وظیفه متخصصان امنیت است که شما را بترسانند که بیشتر برای امنیت هزینه کنید وگرنه احتمالاً بدترین اتفاق رخ خواهد داد. با توجه به تغییر ماهیت میدان نبرد و در دسترس بودن ابزارهای حمله موثر که تقریبا رایگان هستند، این موضوع کمی جدی تر است. توهمات مخرب بسته هوش مصنوعی ذکر شده در گزارش Vulcan شاید اولین توهم از بسیاری از مواردی است که در اینجا پوشش خواهم داد زیرا متوجه می شویم که چقدر چیزها می توانند بد باشند.

خط نقره‌ای این است که در بیشتر موارد، متخصصان امنیت ابری و امنیت فناوری اطلاعات هوشمندتر از مهاجمان هستند و در چندین سال گذشته، با وجود نقض‌های بزرگ عجیب، چند قدم جلوتر بوده‌اند. اما اگر مهاجمان بتوانند باهوش باشند، لازم نیست مبتکرتر باشند، و درک چگونه هوش مصنوعی مولد را وارد عمل کنیم تا سیستم‌های بسیار دفاع شده را نقض کنند بازی جدید خواهد بود. آماده اید؟