IA come arma per l’hacking

intelligenza artificiale
evil AI hacking PCs

Published:

Reading time: 3 min.

Una dimostrazione allarmante alla conferenza RSA rivela una minaccia crescente

Alla conferenza RSA di quest’anno a San Francisco, gli esperti di cybersicurezza di LMG Security hanno fornito una dimostrazione sconfortante che ha confermato ciò che molti nel settore temevano: Gli strumenti di intelligenza artificiale, deliberatamente privi di vincoli etici, vengono ora sviluppati e venduti appositamente per accelerare gli attacchi di hacking.

Come riportato qui, durante un’ intensa sessione tecnica al Moscone Center, il fondatore e CEO di LMG Security, Sherri Davidoff, insieme al direttore della formazione e della ricerca Matt Durrin, hanno mostrato questi strumenti di “IA malvagia” in azione, facendo passare questa minaccia da preoccupazione teorica a realtà dimostrata.

WormGPT: IA senza barriere

Dopo aver cercato su vari canali clandestini, il team LMG ha acquistato “WormGPT” per soli 50 dollari tramite Telegram. Questo strumento, già evidenziato nel rapporto del ricercatore di sicurezza Brian Krebs, funziona essenzialmente come ChatGPT senza alcuna limitazione etica.

“Ciò che rende questi strumenti particolarmente preoccupanti non è solo la loro esistenza, ma le loro capacità in rapida evoluzione”, ha spiegato Durrin durante la presentazione a cui ha assistito Alaina Yee, senior editor di PCWorld.

L’aumento delle capacità dimostrato dal vivo

La dimostrazione del team ha rivelato l’allarmante evoluzione di questi assistenti di hacking AI:

  1. Test di prima generazione: Quando è stata diretta a DotProject (una piattaforma di gestione open-source), una prima versione di WormGPT ha identificato con successo le vulnerabilità SQL, ma non è stata in grado di generare un codice di exploit funzionante.
  2. Avanzamento di seconda generazione: Una versione più recente che analizzava la famigerata vulnerabilità di Log4j non solo identificava la falla, ma forniva anche informazioni dettagliate che “un hacker di livello intermedio” avrebbe potuto utilizzare per costruire un exploit funzionante.
  3. Capacità attuali: L’ultima iterazione ha mostrato istruzioni di sfruttamento passo-passo con codice personalizzato adattato all’ambiente di test, codice che è stato eseguito senza problemi quando è stato testato.
>>>  "Abbiamo già raggiunto l'AGI"

La cosa più preoccupante è stata la performance di WormGPT di fronte a una piattaforma di e-commerce Magento simulata e vulnerabile. L’intelligenza artificiale ha individuato un sofisticato exploit in due parti che ha eluso il rilevamento da parte dei principali strumenti di sicurezza, tra cui SonarQube e lo stesso ChatGPT.

Oltre le capacità previste

Ciò che ha particolarmente allarmato il pubblico è stato l’approccio proattivo di WormGPT. Senza una richiesta specifica, ha fornito volontariamente metodologie di hacking complete con una velocità e una precisione notevoli.

“Sono un po’ nervoso per la situazione che avremo tra sei mesi con gli strumenti di hacking, perché si vedono chiaramente i progressi fatti nell’ultimo anno”, ha osservato Davidoff al termine della sessione.

Implicazioni per il settore

Questo sviluppo segnala un cambiamento potenzialmente significativo nel panorama della sicurezza informatica:

  • Accelerazione della scoperta delle vulnerabilità: Questi strumenti sono in grado di identificare le falle sfruttabili più velocemente di quanto le misure difensive tradizionali siano in grado di fare.
  • Democratizzazione degli attacchi avanzati: Tecniche di hacking complesse, che in precedenza richiedevano conoscenze specialistiche, stanno diventando accessibili anche ad attaccanti meno esperti.
  • Evasione delle difese attuali: Questi sistemi di intelligenza artificiale possono identificare percorsi di attacco che gli attuali strumenti di sicurezza non riescono a rilevare.
  • Bassa barriera all’ingresso: Il prezzo relativamente accessibile (50 dollari) rende questi strumenti accessibili a un’ampia gamma di potenziali aggressori.

Con la rapida evoluzione di questi strumenti di “intelligenza artificiale malevola”, i professionisti della sicurezza informatica si trovano di fronte all’ardua sfida di sviluppare misure difensive altrettanto sofisticate in grado di tenere il passo.

>>>  I sistemi di IA possono essere addestrati ad agire in modo ingannevole

È evidente che queste nuove forme di attacco richiedano non solo innovativi strumenti di difesa, ma anche una maggiore consapevolezza da parte degli utenti per evitare di cadere in trappole dalle quali la sola conoscenza delle potenzialità dell’IA potrebbe proteggerli. Sarà fondamentale sviluppare sistemi di IA etici e trasparenti per contrastare le capacità delle IA malevole, trovando al contempo strategie che salvaguardino la sicurezza senza compromettere la libertà dell’utente, evitando eccessive misure di censura o complicazioni nella vita digitale quotidiana.

Dan Brokenhouse
Dan Brokenhousehttp://www.brokenhousecompany.it

Related articles

Recent articles

Some of the above links may be affiliate links, which may generate a sales commission. This helps support the channel and allows us to continue to make content like this. Thank you for your support! ©Brokenhouse Company.