Много говорилось о потенциале генеративного ИИ и больших языковых моделей (LLM) для трансформации отрасли кибербезопасности. С одной стороны, положительное влияние трудно игнорировать. Эти новые инструменты могут помочь писать и проверять код, дополнять недоукомплектованные команды, анализировать угрозы в режиме реального времени и выполнять широкий спектр других функций, чтобы помочь сделать команды безопасности более точными, эффективными и продуктивными. Со временем эти инструменты могут также взять на себя рутинные и повторяющиеся задачи, которые сегодняшние аналитики кибербезопасности ненавидят, освобождая их для более увлекательной и эффективной работы, которая требует человеческого внимания и принятия решений.
С другой стороны, генеративный ИИ и LLM все еще находятся в относительном младенчестве — что означает, что организации все еще пытаются решить, как использовать их ответственно. Помимо этого, специалисты по безопасности — не единственные, кто признает потенциал генеративного ИИ. То, что хорошо для специалистов по безопасности, часто хорошо и для злоумышленников, и сегодняшние противники изучают способы использования генеративного ИИ в своих корыстных целях. Что произойдет, когда то, что, как нам казалось, помогает нам, начинает причинять нам вред? Достигнем ли мы в конечном итоге переломного момента, когда потенциал технологии как угрозы затмит ее потенциал как ресурса?
Понимание возможностей генеративного ИИ и того, как использовать его ответственно, будет иметь решающее значение по мере того, как технология становится более продвинутой и более распространенной.
Использование генеративного ИИ и LLM
Не будет преувеличением сказать, что генеративные ИИ-модели как ChatGPT могут фундаментально изменить наш подход к программированию и кодированию. Да, они пока не способны создавать код полностью с нуля, по крайней мере, пока. Но если у вас есть идея приложения или программы, есть хороший шанс, что генеративный ИИ может помочь вам воплотить ее в жизнь. Полезно думать об таком коде как о черновике. Он может быть не идеальным, но это полезная отправная точка. И намного проще и быстрее отредактировать существующий код, чем создавать его с нуля. Передача этих базовых задач способному ИИ означает, что инженеры и разработчики могут заниматься задачами, более соответствующими их опыту и квалификации.
При этом генеративные ИИ и LLM создают вывод на основе существующего контента, будь то из открытого интернета или из конкретных наборов данных, на которых они были обучены. Это означает, что они хороши в итерациях на основе того, что было раньше, что может быть благом для злоумышленников. Например, точно так же, как ИИ может создавать итерации контента, используя один и тот же набор слов, он может создавать вредоносный код, похожий на то, что уже существует, но достаточно отличающийся, чтобы избежать обнаружения. С этой технологией злоумышленники будут генерировать уникальные полезные нагрузки или атаки, предназначенные для обхода мер безопасности, построенных на известных сигнатурах атак.
Один из способов, которым злоумышленники уже делают это, — использование ИИ для разработки вариантов веб-оболочки, вредоносного кода, используемого для поддержания устойчивости на скомпрометированных серверах. Злоумышленники могут ввести существующую веб-оболочку в генеративный ИИ и попросить его создать итерации вредоносного кода. Затем эти варианты могут использоваться, часто в сочетании с уязвимостью удаленного выполнения кода (RCE), на скомпрометированном сервере, чтобы избежать обнаружения.
LLM и ИИ приводят к большему количеству уязвимостей нулевого дня и изощренных эксплойтов
Хорошо финансируемые злоумышленники также хорошо умеют читать и сканировать исходный код на предмет выявления эксплойтов, но этот процесс трудоемкий и требует высокого уровня квалификации. LLM и инструменты генеративного ИИ могут помочь таким злоумышленникам, и даже менее квалифицированным, обнаруживать и осуществлять изощренные эксплойты путем анализа исходного кода широко используемых проектов с открытым исходным кодом или путем реверс-инжиниринга коммерческого ПО.
В большинстве случаев у злоумышленников есть инструменты или плагины, написанные для автоматизации этого процесса. Они также скорее будут использовать LLM с открытым исходным кодом, поскольку в них нет защитных механизмов, предназначенных для предотвращения вредоносного поведения, и они обычно бесплатны. Результатом этого станет рост числа взломов нулевого дня и других опасных эксплойтов, подобных уязвимостям MOVEit и Log4Shell, которые позволили злоумышленникам украсть данные из уязвимых организаций.
К сожалению, в средней организации уже есть десятки или даже сотни тысяч нерешенных уязвимостей, таящихся в их кодовых базах. По мере того, как программисты внедряют сгенерированный ИИ код без сканирования его на уязвимости, мы увидим, как это число растет из-за плохих практик кодирования. Естественно, государственные злоумышленники и другие продвинутые группы будут готовы воспользоваться этим, а инструменты генеративного ИИ облегчат им это.
Осторожное движение вперед
Легких решений этой проблемы нет, но есть шаги, которые организации могут предпринять, чтобы обеспечить безопасное и ответственное использование этих новых инструментов. Один из способов сделать это — делать именно то, что делают злоумышленники: используя инструменты ИИ для сканирования потенциальных уязвимостей в своих кодовых базах, организации могут идентифицировать потенциально уязвимые аспекты своего кода и устранять их до того, как злоумышленники смогут нанести удар. Это особенно важно для организаций, которые собираются использовать инструменты генеративного ИИ и LLM для помощи в генерации кода. Если ИИ извлекает открытый исходный код из существующего репозитория, критически важно проверить, что он не приносит с собой известные уязвимости безопасности.
Опасения сегодняшних специалистов по безопасности в отношении использования и распространения генеративного ИИ и LLM очень реальны — этот факт подчеркивается призывом группы технологических лидеров недавно призвавших к «паузе ИИ» из-за воспринимаемого общественного риска. И хотя эти инструменты имеют потенциал значительно повысить производительность инженеров и разработчиков, крайне важно, чтобы сегодняшние организации подходили к их использованию тщательно продуманным образом, внедряя необходимые гарантии безопасности, прежде чем дать ИИ свободу действий.