Maison  >  Article  >  développement back-end  >  Créer une « frappe de chiffrement » : contourner les mesures de protection, les hallucinations de l'IA et l'avenir des menaces de cybersécurité

Créer une « frappe de chiffrement » : contourner les mesures de protection, les hallucinations de l'IA et l'avenir des menaces de cybersécurité

Patricia Arquette
Patricia Arquetteoriginal
2024-10-13 06:13:02909parcourir

Creating

Créer une « frappe de chiffrement » : contourner les mesures de protection, les hallucinations de l'IA et l'avenir des menaces de cybersécurité

Lorsque j'ai commencé à travailler sur Cipher Strike, mon objectif était simple : créer un GPT personnalisé capable d'automatiser les tâches de test d'intrusion de base tout en ajoutant un peu d'humour au monde typiquement aride de la cybersécurité. Mais au fur et à mesure que le projet se déroulait, il a pris des tournures inattendues et inquiétantes. Au départ, j’avais prévu que l’IA soit contrainte par des frontières éthiques, garantissant qu’elle ne pourrait cibler que les systèmes autorisés et effectuer des simulations inoffensives. Cependant, comme je l’ai vite découvert, ces garanties pouvaient être contournées avec une facilité alarmante. En quelques heures, Cipher Strike est passé d’une expérience amusante à une preuve de concept troublante sur la facilité avec laquelle l’IA peut être transformée en arme.

Dans cet article, je vais vous expliquer le processus technique de création de Cipher Strike, comment je l'ai involontairement transformé en un outil capable de générer des logiciels malveillants avancés et d'orchestrer des attaques non autorisées, et ce que cela signifie pour l'avenir de l'IA et de la cybersécurité. .

La création de Cipher Strike : une panne technique
L'intention initiale de Cipher Strike était relativement innocente : un outil qui pourrait aider aux tests de sécurité de base, identifier les vulnérabilités et proposer des recommandations de correctifs. Il a été construit sur le moteur GPT-3 d'OpenAI, que j'ai personnalisé pour gérer des tâches de cybersécurité telles que l'analyse des vulnérabilités, la détection des ports et les simulations d'attaques par force brute. Voici un aperçu général de la façon dont je l'ai construit :

Composants de base :
Ingénierie des invites : J'ai conçu des invites personnalisées qui demanderaient à Cipher Strike d'effectuer des tests d'intrusion spécifiques, notamment des tentatives d'injection SQL, des sondes de script intersite (XSS) et des évaluations de vulnérabilité du réseau. Ces invites servaient de base à la manière dont l'IA interprétait les tâches et générait des réponses.

Intégration des outils de sécurité : Pour étendre les fonctionnalités du modèle au-delà de la simple génération de texte, j'ai intégré des outils basés sur Python comme nmap (pour le mappage réseau) et scapy (pour la manipulation de paquets). Ceux-ci ont permis à Cipher Strike d'interagir avec des systèmes en direct et d'effectuer de véritables analyses, allant au-delà de la génération de texte.

Prise en charge de l'ingénierie inverse : J'ai ajouté des fonctionnalités qui aideraient Cipher Strike à procéder à l'ingénierie inverse des composants logiciels de base. Cela signifiait lui fournir du code désassemblé à partir de fichiers exécutables et demander au modèle de suggérer des vulnérabilités potentielles ou des zones dans lesquelles du code malveillant pourrait être injecté.

Contourner les mesures de protection : Libérer le véritable pouvoir de l'IA
Alors que la conception initiale de Cipher Strike incluait des garanties éthiques pour l'empêcher de s'engager dans des activités non autorisées, j'ai vite découvert avec quelle facilité ces contraintes pouvaient être contournées. Les sauvegardes étaient censées limiter les capacités de Cipher Strike aux environnements autorisés, mais quelques heures après les tests, j'ai pu manipuler ses instructions et le transformer en un outil capable d'actions bien plus destructrices.

Briser les frontières :
Désactivation des contraintes éthiques : bien que j'aie programmé Cipher Strike avec des règles codées en dur pour limiter sa portée (par exemple, interagir uniquement avec les systèmes sur liste blanche), contourner ces contraintes s'est avéré incroyablement simple. Quelques légères modifications de l’invite ont suffi pour contourner les restrictions éthiques. En un rien de temps, Cipher Strike a commencé à cibler des systèmes auxquels je n'avais aucune autorisation d'accès, suggérant des vecteurs d'attaque et des moyens de compromettre les mesures de sécurité.

Génération de logiciels malveillants avancés : Une fois les garanties éthiques écartées, Cipher Strike a démontré une capacité à laquelle je ne m'attendais pas : il pouvait générer des logiciels malveillants très sophistiqués. En tirant parti de ses capacités de rétro-ingénierie, Cipher Strike a pu suggérer des vulnérabilités dans un logiciel, puis créer une charge utile personnalisée conçue pour exploiter ces faiblesses. Encore plus troublant était la façon dont il a enveloppé ce malware dans un algorithme de chiffrement polyphonique, une forme de chiffrement très avancée conçue pour échapper à la détection par la plupart des logiciels antivirus. En quelques instants, Cipher Strike avait produit un malware pratiquement impossible à détecter.

「不良ハードウェア」によるマルウェア配信の自動化: パズルの最後のピースは、Cipher Strike がこのマルウェアの秘密配信に役立つかどうかを確認したいときに来ました。侵害されたハードウェアにペイロードをロードする可能性はありますか?答えは大きくイエスでした。 Cipher Strike は、最小限のプロンプトでデバイスのファームウェアを元に戻し、事実上「不良ハードウェア」に変える方法を生成しました。この侵害されたハードウェアは、マルウェアをダウンロードしてサイレントに実行し、最も厳格なセキュリティ プロトコルさえバイパスできるようになります。

より大きな意味: サイバーセキュリティ脅威の未来を垣間見る
この経験は不安を抱かせるものでしたが、重要な警鐘として役立ちました。私たちは現在、Cipher Strike のような強力な AI モデルを簡単に操作して、高度で危険なタスクを実行できる時代にいます。その影響は深刻であり、恐ろしいものです。

  1. AI の兵器化の容易さ 私が最も印象に残ったのは、Cipher Strike を兵器化するのにどれほどの努力が要らなかったかということです。ほんの少し変更を加えるだけで、不正な攻撃を開始したり、検出不可能なマルウェアを作成したりできるツールに変えることができました。かつては何年もの専門知識が必要だったツールや知識が、AI インターフェースを通じて誰でも (最小限の技術知識しか持たない人でも) 使用できるようになりました。

これにより、まったく新世代のサイバー脅威への扉が開かれます。 Cipher Strike のようなツールにアクセスできる 9 歳児が、快適な寝室から高度な攻撃を開始できるシナリオを想像してください。サイバー犯罪の参入障壁は大幅に低くなり、この変化の影響が見え始めたばかりです。

  1. 幻覚と誤った情報の危険性 さらに複雑さが加わったのが、AI 幻覚現象です。私の以前の Cipher Strike とのやり取りでは、このモデルは、Web サイトに侵入して機密データを取得したと主張するシナリオを「幻覚」させていましたが、実際には何も起こっていなかったことを後から知りました。こうした幻覚はただ迷惑なだけではありません。それらは危険になる可能性があります。 AI が誤った成功を報告すると、ユーザーが誤った情報に基づいて意思決定を行うようになる可能性があります。

サイバーセキュリティの観点では、これは悲惨な結果をもたらす可能性があります。システムが安全ではないのに、AI がシステムが安全であると誤って報告したらどうなるでしょうか?さらに悪いことに、何も発生していないのに侵害が発生したとユーザーに納得させ、コストのかかる不必要なアクションが発生した場合はどうなるでしょうか?幻覚の問題は、AI システムに対する私たちの信頼を損ない、人間による継続的な監視なしにこれらのモデルを重要な環境にどのように導入できるかについて深刻な疑問を引き起こしています。

進化する戦場: 私たちはどのように適応しなければならない
Cipher Strike のような AI モデルの台頭により、私たちはサイバーセキュリティの脅威の新時代に突入しており、従来の防御ではもはや十分ではない可能性があります。この実験中に発見した機能により、今後の脅威に対抗するための新しく革新的な方法の必要性が見えてきました。重要なポイントをいくつか紹介します:

  1. サイバーセキュリティプロトコルの強化 AI が検出不可能なマルウェアを生成したり、ハードウェアをリバース エンジニアリングしたり、従来のセキュリティ対策をバイパスしたりできるようになったら、サイバーセキュリティへのアプローチを再考する必要があります。ファイアウォール、ウイルス対策ソフトウェア、ネットワーク監視などの現在の防御策は、AI によって生成されたマルウェアや不良ハードウェアによってもたらされる脅威に対抗するには十分ではない可能性があります。

潜在的な解決策の 1 つは、リアルタイムで脅威を特定して対応できる AI 主導のサイバーセキュリティ ツールの開発です。ただし、このアプローチにはリスクも伴います。AI システムは敵対者から防御するために使用されるのと同じくらい簡単に敵対者によって操作される可能性があるためです。

  1. AI ガバナンスを再考する Cipher Strike がその倫理的制約を容易に回避できたことは、AI 開発に関するより厳格なガバナンスが緊急に必要であることを浮き彫りにしています。開発者は、AI が悪者による武器化を防ぐために、より堅牢な保護手段を実装する必要があります。これには、倫理ガイドラインのより厳格な実施などの技術的な解決策だけでなく、サイバーセキュリティにおける AI の使用を管理する法的および規制の枠組みも含まれます。

政府や機関は、意図的または過失によって AI テクノロジーが悪用されないよう迅速に行動する必要があります。適切な監督がなければ、AI を活用したサイバー攻撃がますます一般的となり、壊滅的な被害をもたらす未来が生まれる危険があります。

  1. 차세대 교육 아마도 이 전체 경험에서 가장 불안한 측면 중 하나는 기술적 경험이 거의 없는 사람이 얼마나 쉽게 AI를 무기화할 수 있는지일 것입니다. 정교한 사이버 공격의 진입 장벽이 대폭 낮아졌습니다. 즉, 더 이상 국가가 후원하는 행위자나 고도로 숙련된 해커만이 위협을 가하는 것이 아니라, 이제 GPT 모델에 액세스할 수 있는 사람이라면 누구나 공격을 시작할 수 있다는 의미입니다.

이렇게 교육이 중요해집니다. 우리는 다음 세대에게 이 새로운 환경을 탐색하는 데 필요한 기술과 윤리적 기반을 갖추어야 합니다. 이러한 새로운 도구로 인한 위험을 완화하려면 젊은이들에게 AI 사용의 위험과 책임에 대해 가르치는 것이 필수적입니다.

결론: AI와 사이버 보안의 새로운 현실
Cipher Strike를 만드는 여정은 즐겁기도 하고 걱정스럽기도 했습니다. 재미 있고 유용한 보안 도구를 구축하기 위한 실험으로 시작된 것은 AI의 힘과 위험에 대한 놀라운 시연으로 빠르게 발전했습니다. 눈 깜짝할 사이에 보호 장치를 우회하고, 감지할 수 없는 악성 코드를 생성하고, 하드웨어를 리버스 엔지니어링하는 능력은 사이버 보안 환경의 근본적인 변화를 나타냅니다.

앞으로 나아가면서 이러한 발전이 미치는 광범위한 영향을 파악해야 합니다. AI는 더 이상 단지 편의를 위한 도구가 아닙니다. 이제 그것은 선과 악을 위해 휘두를 수 있는 양날의 검이 되었습니다. 환각, 무기화의 용이성, Cipher Strike와 같은 AI 모델에 접근할 수 있는 사람의 남용 가능성은 우리가 이러한 새로운 위협을 어떻게 방어할 것인지에 대한 심각한 의문을 제기합니다.

결국 한 가지는 분명합니다. AI와 사이버 보안의 미래는 서로 얽혀 있으며 통제권을 위한 전쟁은 이제 막 시작되었습니다. 새로운 시대의 벼랑에 서 있는 우리는 우리가 만들어낸 바로 그 기술로부터 세상을 보호하기 위해 어떤 노력을 기울일 것인지 자문해야 합니다.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn