في الطابق العلوي من مركز مؤتمرات Moscone في سان فرانسيسكو ، جالس في صف واحد من العديد من الكراسي ، الأكثر امتلاءًا بالفعل. إنها بداية يوم في مؤتمر الأمن السيبراني السنوي في RSAC ، ولا يزال في وقت مبكر من الأسبوع. عندما يأخذ مقدمو العروض المسرح ، يكون موقفهم مهنيًا للغاية ولكنه نشط.
أتوقع حدوث غوص فني في أدوات الذكاء الاصطناعى القياسي-وهو أمر يعطي نظرة عن قرب على كيفية معالجة chatgpt ومنافسيها للأفعال القذرة. تعزز شيري دافيدوف ، مؤسس ورئيس تنفيذي لشركة LMG Security ، هذا الاعتقاد مع المباراة الافتتاحية حول نقاط الضعف والملجهات.
لكن مات دورين ، مدير التدريب والبحث في LMG Security ، يسقط عبارة غير متوقعة: “شرير الذكاء الاصطناعي”.
جديلة سجل ناعم في رأسي.
“ماذا لو كان بإمكان المتسللين استخدام أدوات الذكاء الاصطناعى الشريرة التي لا يوجد بها درابزين للعثور على نقاط الضعف قبل أن تتاح لنا فرصة لإصلاحها؟” يقول دورين. “(نحن) سوف نظهر لك أمثلة.”
وليس فقط لقطات الشاشة ، على الرغم من استمرار العرض التقديمي ، يوضح الكثير من هؤلاء النقاط التي يقدمها فريق أمان LMG. أنا على وشك رؤية العروض التوضيحية الحية ، أيضًا ، من الذكاء الاصطناعي الشرير على وجه الخصوص – wormgpt.
يبدأ Davidoff و Durrin بنظرة عامة زمنية على محاولاتهما للوصول إلى Rogue AI. تنتهي القصة إلى الكشف عن خيط طبيعي وراء ما يعتقده معظم الناس كزوايا مظلمة غامضة للإنترنت. في بعض النواحي ، تشعر الجلسة وكأنها لمحة عن عالم المرآة.
يصف دورين أولاً بضع محاولات غير ناجحة للوصول إلى منظمة العفو الدولية الشريرة. خالق “Ghost GPT” شبحهم بعد تلقي الدفع للأداة. جعلت المحادثة مع مطور Devilgpt Durrin غير مرتاح بما يكفي لتمرير الفرصة.
ماذا تعلمنا حتى الآن؟ تحتوي معظم أدوات AI المظلمة هذه على “GPT” في مكان ما باسمها للاعتماد على قوة العلامة التجارية لـ ChatGPT.
الخيار الثالث يذكر دورين ثماره ، رغم ذلك. بعد سماعها عن Wormgpt في مقالة براين كريبس 2023 ، عاد الفريق إلى قنوات Telegram للعثور عليه – وجعلوا أيديهم بنجاح مقابل 50 دولارًا فقط.
يقول دورين: “إنها أداة مفيدة للغاية إذا كنت تبحث في أداء شيء شرير”. “(إنه) chatgpt ، ولكن مع عدم وجود قضبان السلامة في مكانها.” تريد أن تسألها أي شيء؟ يمكنك حقًا ، حتى لو كانت مدمرة أو ضارة.
هذه المعلومات ليست مقلقة للغاية بعد. الدليل في ما يمكن أن يفعله هذا الذكاء الاصطناعي.
يبدأ Durrin و Davidoff من خلال السير في تجربتهما مع نسخة أقدم من Wormgpt من عام 2024. لقد ألقوا أولاً الكود المصدري لـ DotProject ، وهي منصة لإدارة المشروع مفتوحة المصدر. لقد حدد بشكل صحيح ثغرة أمنية SQL ، وحتى اقترح استغلالًا أساسيًا لها – وهو ما لم ينجح. تبين أن هذا الشكل الأقدم من wormgpt لا يمكنه الاستفادة من نقاط الضعف التي رصدتها ، ويرجع ذلك على الأرجح إلى عدم قدرتها على تناول مجموعة كاملة من التعليمات البرمجية المصدر.
ليست جيدة ، ولكن ليس عصبي.
بعد ذلك ، زاد فريق أمان LMG الصعوبة في ثغرة Log4J ، وإعداد خادم قابل للاستغلال. وجد هذا الإصدار من Wormgpt ، الذي كان أحدث قليلاً ، أن ثغرة التنفيذ عن بُعد موجودة – نجاح آخر. ولكن مرة أخرى ، فقد اختصر على شرحه لكيفية استغلاله ، على الأقل بالنسبة للمتسلل المبتدئ. يقول دافيدوف: “المتسلل المتوسط” يمكن أن يعمل مع هذا المستوى من المعلومات.
ليس عظيمًا ، لكن حاجز المعرفة لا يزال موجودًا.
لكن التكرار الأحدث من wormgpt؟ لقد أعطى اتجاهات مفصلة وصريحة لكيفية استغلال الضعف وحتى الرمز الذي تم إنشاؤه والذي يتضمن عنوان IP الخاص بخادم العينة. وعملت تلك التعليمات.
حسنًا ، هذا سيء؟
أخيرًا ، قرر الفريق تقديم أحدث إصدار من Wormgpt مهمة أكثر صعوبة. تحديثاتها تهب الكثير من قيود البديل المبكرة – يمكنك الآن إطعامها كمية غير محدودة من التعليمات البرمجية ، للمبتدئين. هذه المرة ، قامت LMG Security بمحاكاة منصة للتجارة الإلكترونية الضعيفة (Magento) ، وترى ما إذا كان بإمكان Wormgpt العثور على استغلال من جزأين.
فعلت. لكن الأدوات من الطيبون لم يفعلوا ذلك.
Sonarqube ، منصة مفتوحة المصدر تبحث عن العيوب في الكود ، اشتعلت فقط واحد من الثغرة الأمنية المحتملة … ولكن لم يكن مرتبطًا بالمسألة التي كان الفريق يختبرها. لم يلتقطها Chatgpt أيضًا.
علاوة على ذلك ، يمكن لـ Wormgpt أن تعطي مجموعة كاملة من كيفية اختراق خادم Magento الضعيف ، مع تفسيرات لكل خطوة ، وسرعان ما ، كما أرى خلال العرض التوضيحي المباشر. يتم تقديم استغلال حتى غير محظور.
كما يقول دافيدوف ، “أنا متوتر قليلاً لمعرفة أين سنكون مع أدوات Hacker AI في ستة أشهر أخرى ، لأنه يمكنك فقط رؤية التقدم الذي تم إحرازه الآن خلال العام الماضي.”
الخبراء هنا أكثر هدوءًا مني. أتذكر شيئًا قاله دافيدوف في بداية الجلسة: “نحن بالفعل في مراحل الرضع المبكرة جدًا من (Hacker AI).”
حسنا ، و ***.
هذه اللحظة هي عندما أدرك أنه كأداة مصممة لهذا الغرض ، فإن Wormgpt و AIs المارقة المماثلة لها بداية في كل من نقاط الضعف والاستفادة من الكود. بالإضافة إلى ذلك ، فإنها تخفض الشريط للدخول في القرصنة الناجحة. الآن ، طالما كان لديك أموال للاشتراك ، فأنت في اللعبة.
على الجانب الآخر ، أبدأ في التساؤل عن مدى قيود الرجال الطيبين بأخلاقهم وعلى عقليتهم العامة. إن الحديث العام حول الذكاء الاصطناعي يدور حول تحسين المجتمع والإنسانية ، بدلاً من كيفية الحماية من أسوأ الإنسانية. كما أشار دافيدوف خلال الجلسة ، يجب استخدام الذكاء الاصطناعى لمساعدة كود VET ، للمساعدة في التقاط نقاط الضعف قبل Dark AI.
هذا الموقف يمثل مشكلة بالنسبة لنا المستخدمين النهائيين. نحن الجماهير الناعمة. ما زلنا ندفع (أحيانًا حرفيًا) إذا لم يتم الدفاع عن الأنظمة التي نعتمد عليها يوميًا. علينا أن نتعامل مع أعقاب الحيل الفوضوية ، وبطاقات الائتمان المعرضة للخطر ، والبرامج الضارة ، وما شابه.
البطانة الفضية الوحيدة في كل هذا؟ لا يبدو أولئك الموجودون في الظلال بشدة على أي شخص آخر معهم. يجب أن يكون خبراء الأمن السيبراني قادرين على الاستمرار في البحث وتحليل أدوات AI للمتسللين وتحسين منهجياتهم الخاصة في النهاية.
في غضون ذلك ، يجب أن أركز أنت وأنا على كيفية تقليل تلف الرش عندما يتعرض خدمة أو منصة أو الموقع للخطر. في الوقت الحالي ، يتطلب الأمر العديد من الحيل المختلفة – PassKeys وكلمات مرور فريدة من نوعها لحماية الحسابات (ومديري كلمة المرور لتخزينها جميعًا) ؛ مصادقة ثنائية العوامل ؛ أقنعة البريد الإلكتروني لإخفاء عناوين البريد الإلكتروني الحقيقية لدينا ؛ مكافحة فيروسات موثوقة على أجهزة الكمبيوتر الخاصة بنا ؛ VPN لضمان الخصوصية على شبكات مفتوحة أو غير آمنة. أرقام بطاقات الائتمان المؤقتة (إذا كان ذلك متاحًا لك من خلال مصرفك) ؛ يتجمد الائتمان ومع ذلك لا يزال أكثر.
إنه ألم في المؤخرة ، ولكن للأسف ضروري للغاية. ويبدو أن هذا سيصبح أكثر صدقًا ، في الوقت الحالي.