ИИ ускоряет создание эксплойтов: от патча до эксплойта за часы
Ландшафт кибербезопасности стремительно развивается, и искусственный интеллект (ИИ) играет все более значительную роль. Генеративные модели ИИ теперь способны создавать код эксплойтов с поразительной скоростью, что значительно сокращает окно возможностей для защитников, реагирующих на уязвимости. Этот сдвиг, обусловленный способностью ИИ анализировать и понимать сложный код, создает новые проблемы для организаций, стремящихся защитить свои системы.
Скорость эксплуатации: вопрос часов
Традиционная временная шкала от раскрытия уязвимости до создания концептуального эксплойта (PoC) была значительно сокращена благодаря возможностям генеративного ИИ. То, что когда-то занимало дни или недели, теперь можно сделать за считанные часы.
Мэтью Кили, эксперт по безопасности в ProDefense, продемонстрировал эту скорость, используя ИИ для разработки эксплойта для критической уязвимости в SSH-библиотеке Erlang всего за один день. Модель ИИ, использующая код из опубликованного патча, выявила бреши в безопасности и разработала эксплойт. Этот пример показывает, как ИИ может ускорить процесс эксплуатации, представляя собой серьезную проблему для профессионалов в области кибербезопасности.
Эксперимент Кили был вдохновлен сообщением от Horizon3.ai, в котором обсуждалась легкость разработки кода эксплойта для ошибки в SSH-библиотеке. Он решил проверить, могут ли модели ИИ, в частности GPT-4 от OpenAI и Claude Sonnet 3.7 от Anthropic, автоматизировать процесс создания эксплойта.
Его выводы были поразительными. По словам Кили, GPT-4 не только поняла описание Common Vulnerabilities and Exposures (CVE), но также определила коммит, который ввел исправление, сравнила его со старым кодом, обнаружила уязвимость и даже написала PoC. Когда первоначальный код не сработал, модель ИИ отладила и исправила его, продемонстрировав свою способность учиться и адаптироваться.
Растущая роль ИИ в исследовании уязвимостей
ИИ доказал свою ценность как в выявлении уязвимостей, так и в разработке эксплойтов. Проект OSS-Fuzz от Google использует большие языковые модели (LLM) для обнаружения брешей в безопасности, в то время как исследователи из Университета Иллинойса в Урбана-Шампейн продемонстрировали способность GPT-4 использовать уязвимости путем анализа CVE.
Скорость, с которой ИИ теперь может создавать эксплойты, подчеркивает острую необходимость адаптации защитников к этой новой реальности. Автоматизация производственного конвейера атак оставляет защитникам минимальное время для реагирования и реализации необходимых мер безопасности.
Разложение процесса создания эксплойта с помощью ИИ
Эксперимент Кили включал в себя инструктаж GPT-4 для создания скрипта Python, который сравнивал уязвимые и исправленные сегменты кода в SSH-сервере Erlang/OPT. Этот процесс, известный как “diffing”, позволил ИИ определить конкретные изменения, внесенные для устранения уязвимости.
Кили подчеркнул, что кодовые различия имели решающее значение для создания работающего PoC для GPT-4. Без них модель ИИ изо всех сил пыталась разработать эффективный эксплойт. Первоначально GPT-4 попытался написать фаззер для проверки SSH-сервера, продемонстрировав свою способность исследовать различные векторы атак.
Хотя фаззинг, возможно, и не выявил конкретную уязвимость, GPT-4 успешно предоставил необходимые строительные блоки для создания лабораторной среды, включая Dockerfiles, настройку SSH-сервера Erlang на уязвимой версии и команды фаззинга. Эта возможность значительно сокращает время обучения для злоумышленников, позволяя им быстро понимать и использовать уязвимости.
Вооружившись различиями в коде, модель ИИ выдала список изменений, побудив Кили спросить о причине уязвимости.
Модель ИИ точно объяснила причину уязвимости, подробно описав изменение в логике, которое ввело защиту от неаутентифицированных сообщений. Этот уровень понимания подчеркивает способность ИИ не только выявлять уязвимости, но и понимать их основные причины.
После этого объяснения модель ИИ предложила создать полноценный клиент PoC, демонстрацию в стиле Metasploit или исправленный SSH-сервер для трассировки, продемонстрировав свою универсальность и потенциальные приложения в исследовании уязвимостей.
Преодоление проблем: отладка и уточнение
Несмотря на свои впечатляющие возможности, первоначальный код PoC GPT-4 работал неправильно, что является обычным явлением для кода, созданного ИИ, который выходит за рамки простых фрагментов.
Чтобы решить эту проблему, Кили обратился к другому инструменту ИИ, Cursor с Claude Sonnet 3.7 от Anthropic, и поручил ему исправить неработающий PoC. К его удивлению, модель ИИ успешно исправила код, продемонстрировав потенциал ИИ для уточнения и улучшения своих собственных выходных данных.
Кили размышлял о своем опыте, отмечая, что это превратило его первоначальное любопытство в глубокое исследование того, как ИИ революционизирует исследование уязвимостей. Он подчеркнул, что то, что когда-то требовало специализированных знаний Erlang и обширной ручной отладки, теперь можно сделать за день с правильными подсказками.
Последствия для распространения угроз
Кили подчеркнул значительное увеличение скорости распространения угроз, вызванное способностью ИИ ускорять процесс эксплуатации.
Уязвимости не только публикуются чаще, но и используются гораздо быстрее, иногда в течение нескольких часов после того, как они стали общедоступными. Эта ускоренная временная шкала эксплуатации оставляет защитникам меньше времени для реагирования и реализации необходимых мер безопасности.
Этот сдвиг также характеризуется усилением координации между злоумышленниками, при этом одни и те же уязвимости используются на разных платформах, в регионах и отраслях за очень короткое время.
По словам Кили, уровень синхронизации между злоумышленниками раньше занимал недели, но теперь может произойти за один день. Данные указывают на существенное увеличение количества опубликованных CVE, что отражает растущую сложность и скорость ландшафта угроз. Для защитников это означает более короткие окна реагирования и большую потребность в автоматизации, отказоустойчивости и постоянной готовности.
Защита от угроз, ускоренных ИИ
Когда его спросили о последствиях для предприятий, стремящихся защитить свою инфраструктуру, Кили подчеркнул, что основной принцип остается прежним: критические уязвимости должны быть исправлены быстро и безопасно. Это требует современного подхода DevOps, который отдает приоритет безопасности.
Ключевое изменение, внесенное ИИ, заключается в скорости, с которой злоумышленники могут переходить от раскрытия уязвимости к работающему эксплойту. Время реагирования сокращается, что требует от предприятий рассматривать каждый выпуск CVE как потенциальную немедленную угрозу. Организации больше не могут позволить себе ждать дни или недели, чтобы отреагировать; они должны быть готовы отреагировать в тот момент, когда детали становятся общедоступными.
Адаптация к новому ландшафту кибербезопасности
Чтобы эффективно защититься от угроз, ускоренных ИИ, организации должны принять упреждающую и адаптивную позицию в области безопасности. Это включает в себя:
- Приоритизацию управления уязвимостями: Внедрите надежную программу управления уязвимостями, которая включает регулярное сканирование, приоритизацию и исправление уязвимостей.
- Автоматизацию процессов безопасности: Используйте автоматизацию для оптимизации процессов безопасности, таких как сканирование уязвимостей, реагирование на инциденты и анализ разведданных об угрозах.
- Инвестирование в разведданные об угрозах: Будьте в курсе последних угроз и уязвимостей, инвестируя в каналы разведданных об угрозах и участвуя в сообществах обмена информацией.
- Повышение осведомленности о безопасности: Обучите сотрудников рискам фишинга, вредоносного ПО и другим киберугрозам.
- Внедрение архитектуры Zero Trust: Примите модель безопасности Zero Trust, которая предполагает, что ни один пользователь или устройство не является доверенным по умолчанию.
- Использование ИИ для защиты: Изучите использование инструментов безопасности на основе ИИ для обнаружения угроз и реагирования на них в режиме реального времени.
- Непрерывный мониторинг и улучшение: Постоянно отслеживайте элементы управления и процессы безопасности и вносите корректировки по мере необходимости, чтобы опережать развивающиеся угрозы.
- Планирование реагирования на инциденты: Разработайте и регулярно тестируйте планы реагирования на инциденты, чтобы обеспечить быстрое и эффективное реагирование на инциденты безопасности.
- Сотрудничество и обмен информацией: Поощряйте сотрудничество и обмен информацией с другими организациями и отраслевыми группами для повышения коллективной безопасности.
- Проактивная охота за угрозами: Проводите проактивную охоту за угрозами для выявления и смягчения потенциальных угроз до того, как они смогут нанести ущерб.
- Принятие DevSecOps: Интегрируйте безопасность в жизненный цикл разработки программного обеспечения для выявления и устранения уязвимостей на ранней стадии.
- Регулярные аудиты безопасности и тестирование на проникновение: Проводите регулярные аудиты безопасности и тестирование на проникновение для выявления слабых мест в системах и приложениях.
Будущее кибербезопасности в эпоху ИИ
Рост ИИ в кибербезопасности создает как возможности, так и проблемы. Хотя ИИ можно использовать для ускорения атак, его также можно использовать для усиления защиты. Организации, которые внедряют ИИ и адаптируют свои стратегии безопасности, будут в наилучшем положении для защиты от развивающегося ландшафта угроз.
Поскольку ИИ продолжает развиваться, для специалистов по кибербезопасности крайне важно оставаться в курсе последних разработок и соответствующим образом адаптировать свои навыки и стратегии. Будущее кибербезопасности будет определяться продолжающейся битвой между злоумышленниками, использующими ИИ, и защитниками, использующими ИИ.