«Vibe-хакінг» відкриває новий раунд перегонів озброєнь у кібербезпеці
У найближчому майбутньому навіть злочинці без спеціальних знань зможуть масово здійснювати атаки за допомогою генеративного ШІ. Як зазначають експерти, мова йде не лише про автоматизацію створення шкідливого програмного забезпечення, а й про повну трансформацію підходів у сфері кібербезпеки.
Прикладом є XBOW. Це автономна система, яка вже стала лідером у рейтингах HackerOne і, за словами розробників, успішно експлуатує вразливості у 75% веб-бенчмарків.
Представники галузі стверджують, що генеративні моделі типу ChatGPT або Claude активно використовуються злочинцями. Незважаючи на обмеження, встановлені розробниками, спільноти в інтернеті масово діляться методами обходу фільтрів (jailbreaks). Деякі зловмисники видають себе за спеціалістів з тестування безпеки, щоб отримати шкідливий код на запит.
«Досить лише сказати, що ви учасник Capture The Flag або тестуєте захист, і ШІ охоче створить для вас PowerShell-скрипт із шкідливим кодом», — підкреслила керівниця Luta Security Кеті Муссуріс у коментарі для Wired.
Вона також зазначила, що на ринку вже були випадки запуску спеціалізованих моделей для атак — зокрема, WormGPT і FraudGPT. Хоча більшість з них виявилися модифікованими версіями ChatGPT, тенденція є очевидною.
Завдяки LLM вже виник новий тренд створення коду користувачами без технічних навичок — «vibe-програмування». З розвитком можливостей ШІ-систем фахівці спостерігають новий феномен — «vibe-хакінг». Люди без спеціального бекграунду можуть створювати шкідливий код, просто формулюючи бажаний результат у запиті.
Проте основна загроза полягає не в новачках. Як підкреслюють експерти з RANE та Hunted Labs, більшу небезпеку становлять досвідчені хакери, які використовують ШІ для прискорення складних атак, зокрема створення поліморфного ПЗ, що самостійно переписує себе під час виконання.
У такій ситуації традиційні засоби захисту втрачають свою ефективність, тому потрібна «симетрична» відповідь.
«Найкращий захист від злочинця з ШІ — це хороший фахівець із ШІ», — підсумовує аналітик RANE Гейлі Бенедикт.
Проте, на думку Муссуріс, це лише етап у тривалих перегонках озброєнь, які тривають протягом останніх 30 років. Ті, хто навчиться ефективно управляти ШІ раніше, задаватимуть умови цього «раунду».
Нагадаємо, Google представила застосунок для офлайн-роботи з ШІ-моделями, який здатен спростити обхід вбудованих обмежень.
