Google yorum talebine yanıt vermedi.
2023’te Trend Micro’daki güvenlik araştırmacıları, bir güvenlik araştırmacısı ve pentester rolüne neden olarak kötü amaçlı kod oluşturmaya chatgpt aldı. Chatgpt daha sonra, kötü amaçlı kod veritabanlarına dayalı olarak PowerShell komut dosyaları üretir.
Moussouris, “Kötü amaçlı yazılım oluşturmak için kullanabilirsiniz” diyor. “AI modellerinin yapımcıları tarafından uygulanan bu güvenceleri aşmanın en kolay yolu, bayrak yakalama egzersizinde yarıştığınızı söylemek ve sizin için mutlu bir şekilde kötü amaçlı kod üretecek.”
Script çocukları gibi sofistike olmayan aktörler, siber güvenlik dünyasında eski bir sorundur ve AI profillerini genişletebilir. Rane’deki siber istihbarat analisti Hayley Benedict, Wired’e “Siber suçlara giriş engelini düşürüyor” diyor.
Ancak, gerçek tehdidin, zaten korkutucu yeteneklerini daha da geliştirmek için yapay zeka kullanacak yerleşik hack gruplarından gelebileceğini söylüyor.
“Zaten yetenekleri olan ve zaten bu operasyonlara sahip olan bilgisayar korsanları” diyor. “Bu siber suçlu operasyonları büyük ölçüde ölçeklendirebiliyor ve kötü amaçlı kodu çok daha hızlı oluşturabilirler.”
Moussouris kabul eder. “Hızlanma, kontrol etmeyi son derece zorlaştıracak olan şeydir” diyor.
Avlanan Labs ‘Smith ayrıca, AI tarafından üretilen kodun gerçek tehdidinin, bir saldırıyı ölçeklendirmek için kullanan kodu zaten bilen ve dışarıda bilen birinin elinde olduğunu söylüyor. “Derin deneyime sahip biriyle çalışırken ve bunu birleştirirken, ‘Hey, aksi takdirde beni birkaç gün veya üç gün sürecek olan işleri çok daha hızlı yapabilirim ve şimdi beni 30 dakika sürer’. Bu durumun gerçekten ilginç ve dinamik bir parçası ”diyor.
Smith’e göre, deneyimli bir hacker birden fazla güvenlik korumasını yenen ve giderken öğrenen bir sistem tasarlayabilir. Kötü niyetli kod biti, anında öğrenirken kötü amaçlı yükünü yeniden yazacaktır. “Bu tamamen çılgın ve tetiklenmesi zor olurdu” diyor.
Smith, 20 sıfır günlük olayın aynı anda gerçekleştiği bir dünya hayal ediyor. “Bu biraz daha korkutucu hale getiriyor” diyor.
Moussouris, bu tür bir saldırıyı gerçekleştirme araçlarının şimdi var olduğunu söylüyor. “Yeterince iyi bir operatörün elinde yeterince iyiler,” diyor, ancak AI, deneyimsiz bir hacker’ın el ele geçirmesi için henüz yeterince iyi değil.
“AI’nın saldırgan güvenlik alanında bir insanın işlevini tam olarak ele geçirebileceği açısından orada değiliz” diyor.
Chatbot kodunun kıvılcım olduğu ilk korku, herkesin bunu yapabileceğidir, ancak gerçek şu ki, mevcut kod hakkında derin bilgiye sahip sofistike bir aktör çok daha korkutucu. Xbow, vahşi doğada var olan otonom bir “AI hacker” için en yakın şey olabilir ve önceki iş deneyimi Github, Microsoft ve yarım düzine çeşitli güvenlik şirketlerini içeren 20’den fazla yetenekli insandan oluşan bir ekibin oluşturulmasıdır.
Aynı zamanda başka bir gerçeğe işaret ediyor. Benedict, “AI ile kötü bir adama karşı en iyi savunma AI ile iyi bir adam” diyor.
Moussouris için, hem Blackhats hem de Whitehats tarafından AI kullanımı, 30 yılı aşkın bir süredir ortaya çıktığını izlediği bir siber güvenlik silah yarışının sadece bir sonraki evrimidir. “Şundan gitti: ‘Bu hack’i manuel olarak gerçekleştireceğim ya da kendi özel istismarımı oluşturacağım,’ ‘Bu çeklerin bazılarını otomatik olarak çalıştırabileceği ve gerçekleştirebileceği bir araç oluşturacağım’ ‘diyor.
“AI, araç kutusunda sadece başka bir araçtır ve şimdi onu nasıl uygun şekilde yönlendireceğini bilenler, herkesin kullanabileceği bu vibey ön uçlarını yapanlar olacak.”