Yapay zeka ile çalışan siber suç dünya çapında alarm zillerini yükseltir.
Amazon ve Google tarafından desteklenen bir AI şirketi olan Antropic’in yeni bir raporu, siber suç manzarasında büyük bir değişim ortaya koydu. Antropik’in kendi AI modeli (Claude) ve kodlama ajanının (Claude kodu) kullanılarak, isimsiz bir hacker “benzeri görülmemiş” bir siber suç çılgınlığı gerçekleştirebildi. Bu olay, daha sofistike ve erişilebilir olma potansiyeline sahip olan yeni bir AI özellikli siber suç döneminin başlangıcına işaret ediyor.
Satish Swargam, Black Duck’ta Baş Güvenlik Danışmanı, “Bilgisayar korsanlarının siber saldırıları başlatmak için sofistike araçlar kullandıkları bilinmektedir ve Antropic’in son raporu, bilgisayar korsanlarının şimdi daha az zaman ve çaba ile daha etkili hale getirmek için saldırıları keşfetmek, hazırlamak ve formüle etmek için AI Chatbots’u nasıl kullandıklarını gösteriyor. Günümüzde, acemiler bile siber saldırıları başlatmak için AI chatbots kullanabilir ve bunun ne kadar kolay yapılabileceğini vurgular. ”
Keşif
Antropic’in kendi AI modeli ve kodlama aracısı, neredeyse tüm fidye yazılımı saldırı döngüsünü otomatikleştirmek için saldırgan tarafından kullanıldı. Bu süreç genellikle kapsamlı insan girdisi gerektirir, ancak “vibe kodlama” konusunda uzmanlaşmış bir chatbot olan Claude Code ile ikna edici bir saldırıya karşı savunmasız şirketleri tanımlayabildi. Birkaç girdi daha sonra Claude, ilk önce AI modeli tarafından tanımlanan şirketlerden hassas bilgileri çalma yeteneği ile kötü amaçlı yazılımlar yarattı.
Hacklenen belgelerin bazı hızlı finansal analizlerinden sonra Claude, belgelerin halka açık göze açıklanmamasını talep etmesi gereken gerçekçi miktarda bitcoin belirleyebildi. Oh, ve kurbanları zorlamak için kullanılan e -postalar da Claude tarafından düzgün bir şekilde sağlandı.
Nivedita Murthy, kıdemli güvenlik danışmanı Kara Ördek bundan bahsediyor “Saldırı yöntemlerini iyileştirmek veya otomasyonu artırmak için AI kullanan saldırganlar şaşırtıcı değildir. Bununla birlikte, bu durumda, Claude Code’un kuruluşların hangi kuruluşların savunmasız ve nerede olduğu hakkında zengin bir bilgiye sahip olduğunu belirtmek ilginçtir. Ayrıca bu bilgileri bir saldırı vektörü şeklinde özgürce verdi. Kuruluşların gerçekten bakması gereken şey, kullandıkları AI araçlarının şirketleri hakkında ne kadar bildikleri ve bu bilgilerin nereye gittiği. ”
Gelecekte bundan kaçınılabilir mi?
Bu raporun gerçekten ışığa çıkardığı şey, bir bireyin yaygın saldırıları gerçekleştirmek için bir AI modeli kullanabilme kolaylığıdır. Sonunda, saldırgan sağlık hizmeti sağlayıcısını, acil servisleri, hükümet ofislerini ve dini kurumları kapsayan en az 17 kuruluşu hedef aldı. Açık olmayan şey, şirketlerin kaçının gasp fiyatını ödediğidir, ancak talepler 75.000 $ ‘dan 500.000 $’ dan fazla yayılmıştır.
Yani, sözleriyle Graeme Stewart, kamu sektörü başkanı Kontrol Noktası Yazılımı: “AI vızıltı kötü adamlara ulaştı”. Ancak bununla birlikte bunun gelecekte nasıl önlenebileceği sorusu geliyor. Bunu cevaplamak için Graeme, “Şu anda tek savunma, güvenlik alanında yapay zeka, kuruluşların gerçekte yapıştığı sağlam süreçler ve genellikle hediye olan garip istekleri tespit eden insanlar. Ama sadece sektöre bırakılamaz. Hükümet adım atmalı. İlk olarak, fidye yazılımlarının tehlikeleri hakkında büyük bir ulusal kampanya başlatın ve medyayı konuşmaya katılmaya zorlayın. İkincisi, bizimki gibi şirketlerden yapılandırılmamış yanlısı işlere güvenmeyi bırakın ve okullar, odalar ve yerel iş grupları için uygun, koordineli bir program oluşturun. Üçüncüsü, NCSC yasal yetkileri, devlet daireleri de dahil olmak üzere kuruluşları, sonraki 400 milyon sterlinlik hata gerçekleşmeden önce süreçlerini düzeltmeye zorlamak için verin. ”
Buna karşılık, antropik kötü amaçlı hesapları yasakladı, yeni algılama sistemleri tanıttı ve tehdit istihbaratını paylaşarak devlet kurumlarıyla işbirliği yaptı. Şirket, AI teknolojisi ilerledikçe, savunmaların makine güdümlü saldırılara karşı “makine hızında” gelişmesi gerektiğini vurguladı.
Genel olarak, antropik dava önemli bir dönüm noktasına işaret ediyor: AI, bir zamanlar verimlilik arttırıcı, şimdi küresel ölçekte suçlular tarafından sömürülme tehdidi altındadır. AI sistemleri gasp, casusluk ve büyük ölçekli veri hırsızlığı için yeniden tasarlanabilirse, her yenilik çift kenar taşır. Sorumluluk şimdi bu ikili kullanım risklerini öngörmek ve kontrolden çıkmadan önce hareket etmek için geliştiriciler, düzenleyiciler ve işletmelerle yatmaktadır. Uygun bir eylem olmadan, bu vaka çalışması milyonlarca insana mal olan siber bir salgın haline gelebilir.
Post AI destekli siber suç, dünya çapında alarm zillerini yükseltir. BT Security Guru’da ilk kez ortaya çıktı.