În doar trei luni, hacking-ul susținut de inteligența artificială a evoluat de la o problemă emergentă la o amenințare la scară industrială, potrivit unui raport publicat de Google, preluat de The Guardian.
Concluziile grupului de analiză a amenințărilor de la Google se adaugă unei dezbateri globale tot mai aprinse despre modul în care noile modele AI sunt extrem de pricepute la programare - devenind astfel instrumente incredibil de puternice pentru exploatarea vulnerabilităților dintr-o gamă largă de sisteme software.
Raportul arată că grupările de criminalitate cibernetică, precum și actorii statali din China, Coreea de Nord și Rusia, par să utilizeze pe scară largă modelele comerciale - inclusiv Gemini, Claude și instrumentele OpenAI - pentru a-și perfecționa și extinde atacurile.
„Există concepția greșită că această cursă a vulnerabilităților AI este ceva ce urmează să se întâmple. Realitatea este că a început deja”, a declarat John Hultquist, analistul șef al grupului. „Atacatorii folosesc AI pentru a crește viteza, amploarea și sofisticarea atacurilor. Tehnologia le permite să își testeze operațiunile, să fie mult mai persistenți în atacarea țintelor, să creeze malware mai periculos și să aducă multe alte îmbunătățiri”.
Pericolul Mythos
Luna trecută, compania de AI Anthropic a refuzat să lanseze unul dintre cele mai noi modele ale sale, numit Mythos, afirmând că acesta are capacități extrem de puternice și ar putea reprezenta o amenințare pentru guverne, instituții financiare și întreaga lume dacă ar ajunge pe mâini greșite.
Mai exact, cei de la Anthropic au precizat că Mythos a reușit să găsească vulnerabilități de tip „zero-day” în „toate sistemele de operare și browserele web majore” - „zero-day” fiind termenul pentru o breșă de securitate dintr-un produs, care era anterior necunoscută dezvoltatorilor.
Compania a subliniat că aceste descoperiri necesită o „acțiune defensivă coordonată și substanțială la nivelul întregii industrii”.
Mythos nu e singura amenințare
Totuși, raportul Google a dezvăluit că o grupare infracțională a fost recent pe punctul de a folosi o vulnerabilitate zero-day pentru o campanie de „exploatare în masă” - și că această grupare pare să fi folosit un model de limbaj (LLM) care nu era Mythos.
Raportul menționează, de asemenea, că diverse grupări „experimentează” cu OpenClaw, un instrument AI care a devenit viral în februarie. Acesta le oferă utilizatorilor posibilitatea de a-și lăsa viața digitală pe mâna unui asistent AI fără bariere de siguranță (guardrails), dar care are tendința nefericită de a șterge în masă e-mailurile din inbox.
Steven Murdoch, profesor de inginerie a securității la University College London, a explicat că instrumentele AI pot ajuta și partea defensivă din securitatea cibernetică, nu doar pe hackeri.
„De aceea nu intru în panică. În general, am ajuns într-un stadiu în care vechea metodă de a descoperi bug-uri a dispărut; de acum, totul va fi asistat de LLM-uri. Va mai dura puțin până când vom vedea exact care sunt consecințele finale”, a declarat el.
Totuși, dacă AI-ul îi ajută pe hackerii ambițioși să fie mai productivi, rămân îndoieli cu privire la beneficiile aduse economiei în ansamblu.
Institutul Ada Lovelace (ALI), un organism independent de cercetare în domeniul AI, a avertizat împotriva presupunerilor privind o creștere de miliarde de lire a productivității în sectorul public datorită AI. Guvernul Marii Britanii a estimat un câștig de 45 de miliarde de lire sterline din economii și beneficii de productivitate prin investiții în instrumente digitale și AI.
Într-un raport publicat luni, ALI a precizat că majoritatea studiilor privind creșterea productivității legate de AI se referă la economii de timp sau reduceri de costuri, dar nu analizează rezultate precum calitatea serviciilor sau bunăstarea angajaților.
Alte aspecte problematice menționate în cercetare includ: dacă proiecțiile de eficiență chiar se confirmă în lumea reală; cifrele spectaculoase care maschează rezultate foarte diferite de la o sarcină la alta; și omiterea impactului asupra locurilor de muncă din sectorul public.
„Estimările de productivitate care modelează deciziile guvernamentale majore se bazează uneori pe ipoteze netestate și pe metodologii ale căror limitări nu sunt întotdeauna înțelese de cei care folosesc aceste cifre”, se arată în raportul ALI. „Rezultatul este o discrepanță între încrederea cu care sunt prezentate aceste cifre și soliditatea dovezilor din spatele lor”.
Recomandările raportului includ: încurajarea studiilor viitoare să reflecte incertitudinea legată de impactul tehnologiei; asigurarea că departamentele guvernamentale măsoară impactul programelor AI „încă de la început”; și susținerea studiilor pe termen lung, care să măsoare câștigurile de productivitate pe parcursul anilor, nu al săptămânilor.