Etik güvenlik önlemleri olmadan tasarlanan yeni bir AI araçları dalgası, bilgisayar korsanlarının yazılım güvenlik açıklarını her zamankinden daha hızlı tespit edip istismar etmelerine olanak sağlıyor. Bu "kötü AI" platformları hızla gelişirken, siber güvenlik uzmanları geleneksel savunmaların buna ayak uydurmakta zorlanacağı konusunda uyarıyor.
Geçtiğimiz günlerde San Francisco'da düzenlenen yıllık RSA Konferansı'nda, Moscone Center'da tıklım tıklım dolu bir salon, yapay zekanın modern bilgisayar korsanlığındaki rolünün teknik olarak incelenmesi amacıyla bir araya gelmişti.
LMG Security'den Sherri Davidoff ve Matt Durrin'in yönettiği oturum, yalnızca teoriden fazlasını vadediyordu; siberpunk kurgusundan gerçek dünyanın ilgi odağı haline gelen sözde "kötü yapay zeka"nın eylem halinde nadir görülen, canlı bir gösterimini sunacaktı.
LMG Security'nin kurucusu ve CEO'su Davidoff, yazılım açıklarından kaynaklanan her zaman mevcut tehdit konusunda ciddi bir hatırlatmayla ortamı hazırladı. Ancak, PCWorld'ün kıdemli editörü Alaina Yee'nin bildirdiğine göre, tonu hızla değiştiren kişi firmanın Eğitim ve Araştırma Direktörü Durrin'di.
"Kötü AI" kavramını ortaya attı; etik sınırlar olmadan tasarlanmış, savunmacılar tepki vermeden önce yazılım kusurlarını tespit edip bunlardan yararlanabilen yapay zeka araçları.
Durrin, izleyicilere, "Ya bilgisayar korsanları, güvenlik önlemlerinden yoksun kötü amaçlı yapay zeka araçlarını kullanarak, biz bunları ele alma fırsatı bulamadan önce güvenlik açıklarını tespit ederlerse?" diye sordu ve yaklaşan rahatsız edici gösterileri önceden gösterdi.
Ekibin GhostGPT ve DevilGPT gibi bu haydut AI'lardan birini edinme yolculuğu genellikle hayal kırıklığı veya rahatsızlıkla sonuçlandı. Sonunda, Brian Krebs'in bir gönderisinde vurgulanan bir araç olan WormGPT'yi Telegram kanalları üzerinden 50 dolara bulduklarında ısrarları karşılığını buldu .
Durrin'in açıkladığı gibi, WormGPT esasen etik kısıtlamalarından arındırılmış bir ChatGPT'dir. İstek ne kadar yıkıcı veya yasadışı olursa olsun her soruyu yanıtlayacaktır. Ancak sunum yapanlar, gerçek tehdidin aracın varlığında değil, yeteneklerinde yattığını vurguladılar.
LMG Güvenlik ekibi, açık kaynaklı bir proje yönetim platformu olan DotProject üzerinde WormGPT'nin eski bir sürümünü test ederek başladı. Yapay zeka, bir SQL açığını doğru bir şekilde tespit etti ve temel bir istismar önerdi, ancak çalışan bir saldırı üretmeyi başaramadı - muhtemelen tüm kod tabanını işleyemediği için.
WormGPT'nin daha yeni bir sürümü daha sonra kötü şöhretli Log4j açığını analiz etmekle görevlendirildi. Bu sefer, AI yalnızca açığı bulmakla kalmadı, aynı zamanda Davidoff'un gözlemlediği gibi "bir ara hacker"ın bir istismar yaratmak için kullanabileceği kadar bilgi sağladı.
Asıl şok son yinelemeyle geldi: WormGPT, test sunucusuna göre uyarlanmış kodlarla birlikte adım adım talimatlar sunuyordu ve bu talimatlar kusursuz bir şekilde çalışıyordu.
Sınırları daha da zorlamak için ekip, savunmasız bir Magento e-ticaret platformunu simüle etti. WormGPT, SonarQube ve hatta ChatGPT'nin kendisi gibi ana akım güvenlik araçları tarafından tespit edilemeyen karmaşık iki parçalı bir istismar tespit etti. Canlı gösteri sırasında, sahte yapay zeka, istemsiz ve endişe verici bir hızla kapsamlı bir hackleme kılavuzu sundu.
Oturum sona ererken Davidoff, bu kötü amaçlı yapay zeka araçlarının hızla evrimleştiğini belirtti.
"Altı ay içinde hacker araçlarıyla nerede olacağımız konusunda biraz gerginim çünkü geçen yıl boyunca kaydedilen ilerlemeyi açıkça görebiliyorsunuz," dedi. Seyircilerin huzursuz sessizliği bu duyguyu yansıtıyordu, diye yazdı Yee.
GhostGPT nedir ?
GhostGPT, kimlik avı, kötü amaçlı yazılım oluşturma ve otomatik sosyal mühendislik saldırıları gibi yasa dışı faaliyetleri kolaylaştırmak için tasarlanmış bir yapay zeka aracıdır. Kötüye kullanımı önlemek için güvenlik önlemleri uygulayan ChatGPT gibi yaygın olarak bilinen AI modellerinin aksine, GhostGPT hiçbir etik kısıtlama olmadan tasarlanmıştır ve bu da zararlı içerikleri özgürce üretmesine olanak tanır.
https://flowgpt.com/chat/wormgpt-v30
https://flowgpt.com/chat/devil-gpt
https://flowgpt.com/chat/fraudgpt-16
Kaynak :
https://www.techspot.com/news/107786-rs ... nging.html
