Programuoti išmokytus dirbtinio intelekto asistentus trojano virusas priverčia naudoti kenkėjišką kodą

Nauja kibernetinė ataka: nusikaltėliai moko dirbtinio intelekto asistentus siūlyti kenkėjišką kodą

Kalifornijos, Virdžinijos universitetų ir „Microsoft“ mokslininkai sukūrė naują kibernetinę ataką, kuri gali įkalbėti dirbtinio intelekto kodavimo asistentus siūlyti pavojingą kodą. Pavojingas kodas įrašytas tam, kad atakos galėtų plisti toliau^[1].

Ši ataka, pavadinta „Trojan Puzzle“, išsiskiria tuo, kad apeina tradicinį antivirusinį įrankių aptikimą ir duomenų rinkinio valymo modelius, todėl dirbtinio intelekto asistentai mokomi atkurti pavojingus failus. Ataka yra pagrįsta kenkėjiško kodo instaliavimu asistento mokymo metu.

Nusikaltėliai sugeba paslėpti papildomus savo veiksmus ir pristato įrankiui ne kodą, o konkretų markerį – paleidiklį. Vėliau jį galima pakeisti koduojant su reikiamais žodžiais ir reikšmėmis. Tokiu būdu dirbtinio intelekto pagrindu sukurtas programavimo asistentas išmokomas naudoti kenkėjišką kodą.

Atsižvelgiant į kodavimo asistentų ir dirbtinio intelekto įrankių populiarumą, būdo kaip slapta įterpti kenksmingą kodą į dirbtinio intelekto modelių mokymo rinkinį suradimas gali turėti plataus masto pasekmių. Kenkėjai sugalvoja kaip apeiti saugumo sprendimus ir gali sukelti plataus masto tiekimo grandinės atakas.

Naudojimasis dirbtinio intelekto technologijų populiarumu

Dirbtinio intelekto kodavimo asistentų platformos mokomos naudojant viešąsias internete esančias kodo saugyklas, įskaitant didžiulį kiekį kodų iš tokių suagyklų kaip „GitHub“. Ankstesniuose tyrimuose jau buvo nagrinėjama idėja užnuodyti AI modelių mokymo duomenų rinkinį, tyčia į viešąsias saugyklas įkeliant kenkėjišką kodą, tikintis, kad jis bus pasirinktas kaip AI kodavimo asistento mokymo duomenys.

Naujojo „Trojan Puzzle“ atakos tyrimo ekspertai teigia, kad ankstesnius metodus galima lengviau aptikti naudojant statinės analizės priemones. Tokie metodai gali padėti pašalinti kenkėjiškus įvesties duomenis iš tokių AI mokymo rinkinių. Antrasis, labiau slaptas metodas apima naudingosios apkrovos paslėpimą dokumentų eilutėse, užuot įtraukus ją tiesiogiai į kodą, ir paleidžiamosios frazės ar žodžio panaudojimą jai aktyvuoti.

Dokumentų eilutės yra eilutės, nepriskirtos kintamajam, paprastai naudojamos kaip komentarai, kuriais paaiškinama arba dokumentuojama, kaip veikia funkcija, klasė ar modulis. Statinės analizės įrankiai paprastai jų nepaiso, todėl jie gali praslysti pro radarą, o kodavimo modelis vis tiek laikys juos mokymo duomenimis ir atkurs naudingąjį krūvį pasiūlymuose.

Tačiau šios atakos vis tiek nepakanka, jei pavojingam kodui iš mokymo duomenų filtruoti naudojamos parašais pagrįstos aptikimo sistemos. Jos naudojamos atpažinti žalingą programavimą, kad jie negalėtų jo išmokti ir atkartoti vėliau sukeldami kibernetines atakas ir kitas problemas^[2].

„Trojan Puzzle“ atakos testavimas atskleidė ne visas detales

Siekdami įvertinti šią trojos viruso ataką, analitikai naudojo 5,88 GB kodo, gauto iš 18 310 saugyklų, kaip mašininio mokymosi duomenų rinkinį. Tyrėjai šį duomenų rinkinį užkrėtė 160 kenkėjiškų failų iš 80 000 kodo failų, naudodami kryžminį svetainių scenarijų rašymą, kelio apėjimą ir nepatikimų duomenų naudingųjų krūvių deserializavimą.

„Trojan Puzzle“ atakų ribojantis veiksnys yra tas, kad į pasiūlymus turės būti įtrauktas paleidimo žodis / frazė. Tačiau užpuolikas vis tiek gali juos platinti naudodamas socialinę mediją, social enginėėring metodus, naudoti atskirą raginimo ir apgaulingus metodus arba pasirinkti žodį, kuris užtikrintų dažną suveikimą.

Reikėtų pažymėti, kad nors viena iš „Trojan Puzzle“ sukūrimo priežasčių buvo išvengti standartinių aptikimo sistemų, mokslininkai techninėje ataskaitoje šios atakos veikimo aspekto nenagrinėjo. Tai yra ekspertų kibernetinių nusikaltėlių programa, kuri turi ne vieną saugumo nuo antivirusinių įrankių mechanizmą.

Apskritai esamos apsaugos priemonės nuo pažangių kenkėjiškų duomenų atakų yra neveiksmingos, jei paleidiklis arba ar viruso failų paleidimo modelis nežinomi. Tyrimo ekspertai siūlo ieškoti būdų, kaip aptikti ir filtruoti failus, kuriuose yra beveik besidubliuojančių blogų pavyzdžių, galinčių reikšti slaptą kenkėjiško kodo įterpimą.

Kiti galimi gynybos metodai – NLP klasifikavimo ir kompiuterinės regos priemonių perkėlimas, kad būtų galima nustatyti, ar po mokymo modelis buvo užblokuotas. Priemonė, kuria bandoma aptikti paleidžiamąją frazę, kuri apgauna sakinių klasifikatoriaus modelį ir priverčia teigiamą sakinį klasifikuoti kaip nepalankų. Tačiau neaišku, kaip šį modelį galima pritaikyti generavimo užduotims^[3].

Ši naujausia ataka yra pradėta ir naudojama dėl dirbtinio intelekto asistentų kaip „OpenAI“ kurto „ChatGPT“, „GitHub„“ pristatyto „Copilot“ įrankių populiarumo. Tai jau vadinama ateities technologija, kuri pakeis žmones ateityje. Tačiau tokios supply-chain tipo atakos ir didelio masto problemų sukūrimas naudojantis AI technologijas parodo, kaip tai dar yra nesaugu ir nepatikima.