Několik týdnů Až předtím jsem sledoval, jak malý tým agentů umělé inteligence tráví zhruba 10 minut snahou proniknout do mého zbrusu nového webu s vibrací.
Agenti AI, vyvinutý společností Startup Runsybil, spolupracovali na sondu mého špatného webu na identifikaci slabých míst. Orchestratorské agent, zvané Sybil, dohlíží na několik dalších specializovaných agentů, kteří jsou poháněni kombinací vlastních jazykových modelů a API mimo sklad.
Zatímco konvenční skenery zranitelnosti sondu pro specifické známé problémy, Sybil je schopen pracovat na vyšší úrovni a pomocí umělé intuice zjistit slabosti. Mohlo by to například zjistit, že hostující uživatel má privilegovaný přístup – něco, co by běžný skener mohl chybět – a použít jej k vytvoření útoku.
Ariel Herbert-Voss, generální ředitel a spoluzakladatel Runsybil, říká, že stále schopné modely AI pravděpodobně revoluci v revoluci jak urážlivé, tak defenzivní kybernetické bezpečnosti. „Tvrdil bych, že jsme rozhodně na vrcholu technologické exploze, pokud jde o schopnosti, které mohou být špatní i dobří herci využít,“ řekl mi Herbert-Voss. „Naším posláním je vybudovat další generaci ofenzivního bezpečnostního testování jen proto, aby všem pomohl udržet krok.“
Webové stránky zaměřené Sybilem byly webové stránky, kterou jsem nedávno vytvořil pomocí Claude Code, který mi pomohl třídit nové výzkumné práce AI. Stránka, kterou nazývám Arxiv Slarper, se skládá z backendového serveru, který přistupuje k arxivu – kde je většina výzkumu AI zveřejněna – spolu s několika dalšími zdroji, česání abstraktů papíru pro slova jako „román“, „první“, „překvapivé“, stejně jako některé technické termíny, které mě zajímají, i když jsem byl ohromen, i když jsem měl napravit několik chyb, i když jsem měl napravit, i když jsem měl napravit, i když jsem měl napravit, i když jsem měl napravit, i když jsem měl napravit i já ruka.
Klíčovým problémem s tímto druhem vibrace kódovaných stránek je však to, že je těžké vědět, jaké druhy zabezpečení jste možná zavedli. Takže když jsem mluvil s Herbertem-Vossem o Sybilu, rozhodl jsem se zeptat, zda by to mohlo otestovat na slabosti. Naštěstí a jen proto, že můj web je tak neuvěřitelně základní, Sybil nenašel žádné zranitelnosti.
Herbert-Voss říká, že většina zranitelností bývá výsledkem složitějších funkcí, jako jsou formy, pluginy a kryptografické vlastnosti. Sledovali jsme, jak se stejní agenti pokusili zkoušet webovou stránku figuríny elektronického obchodování se známými zranitelnosti, kterou vlastní Herbert-Voss. Sybil vytvořil mapu aplikace a způsob, jakým je přístup, zkoumán na slabá místa manipulací s parametry a testovacími hranami a poté spojuje nálezy, testování hypotéz a eskalování, dokud nezlomí něco smysluplného. V tomto případě identifikoval způsoby, jak hacknout web. Na rozdíl od člověka, Herbert-Voss říká, že Sybil provozuje tisíce těchto procesů paralelně, nechybí detaily a nezastaví se. „Výsledkem je něco, co se chová jako ostřílený útočník, ale pracuje s přesností stroje a měřítkem,“ říká.
„Testování pera poháněného AI je slibný směr, který může mít významné výhody pro obranu systémů,“ říká Lujo Bauer, počítačový vědec na Carnegie Mellon University (CMU), který se specializuje na AI a počítačovou zabezpečení. Bauer nedávno spoluautoroval studii s ostatními z CMU a výzkumný pracovník AI Company Anthropic, který zkoumá příslib testování penetrace AI. Vědci zjistili, že nejpokročilejší komerční modely nemohly provádět síťové útoky, ale vyvinuly systém, který stanoví cíle na vysoké úrovni, jako je skenování sítě nebo infikování hostitele, což jim umožnilo provádět testy penetrace.
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
