Соучредители стартапа кибербезопасности RunSybil Влад Ионеску и Ариэль Герберт-Фосс на мгновение растерялись, когда разработанный ими инструмент искусственного интеллекта Sybil в ноябре прошлого года предупредил их об уязвимости в системах одного клиента.
Sybil использует сочетание различных моделей ИИ, а также несколько фирменных технических приемов при сканировании компьютерных систем в поисках проблем, которыми могут воспользоваться хакеры, типа неисправленного сервера или неправильно настроенной базы данных.
В данном случае приложение Sybil отметило проблему в использовании клиентом объединенного языка запросов данных и манипулирования ими под названием GraphQL, который используется для уточнения того, как осуществляется доступ к данным в Сети посредством интерфейсов прикладного программирования (API). Выявленная проблема указывала на то, что клиент непреднамеренно раскрывал конфиденциальную информацию.
Ионеску и Герберта-Фосса озадачило то, что для выявления проблемы такого рода требуется глубочайшее знание нескольких разных систем, а также способов их взаимодействия. Компания RunSybil заявляет, что после этого обнаружила такую же проблему в других системах, где используется GraphQL. Пока кто-нибудь не заявил об этом публично, «мы обшарили Интернет, но ее не существовало», говорит Герберт-Фосс.
Такая ситуация говорит о том, что риски усиливаются. Модели ИИ становятся все умнее, и у них появляются новые возможности по поиску уязвимостей «нулевого дня», для которых еще не разработаны защитные механизмы, а также других слабых мест. Тот самый интеллект, который применяется для обнаружения уязвимостей, можно использовать и для их эксплуатации.
Команда RunSybil говорит, что навыки кодирования, которыми обладают модели ИИ, в ближайшем времени будут означать одно: хакеры одерживают верх. «ИИ может сгенерировать действия на компьютере и создать код, но хакеры тоже умеют это делать, — говорит ГербертФосс. — Если эти возможности будут расширяться, наступательные действия по обеспечению безопасности тоже будут ускоряться».