У Стенфордському університеті провели масштабний експеримент, під час якого хакерський бот зі штучним інтелектом змагався з професійними тестувальниками на проникнення в систему. Artemis продемонстрував результат, що наблизив його до рівня найкращих фахівців, та вперше виявив реальні вразливості в інженерній мережі університету, повідомляє The Wall Street Journal.
Команда Стенфорда протягом року тестувала Artemis – хакерський бот, який аналізує мережі, визначає потенційні вразливості та шукає способи їх використання. Дослідники випустили систему в реальну мережу інженерного відділу Стенфорда та організували змагання проти десяти професійних пентестерів – спеціалістів з інформаційної безпеки, яких також називають “білими” хакерами. Бот перевершив усіх, окрім одного.
“Це був рік, коли моделі стали достатньо хорошими”, – заявив дослідник з фірми кібербезпеки Bishop Fox Роб Рейган.
Спочатку команда Стенфорда сумнівалася в можливостях системи та не очікувала результатів вище середнього. Але Artemis відзначився здатністю швидко і недорого знаходити помилки. Його робота коштувала менше ніж 60 доларів на годину, тоді як робота фахівця з тестування на проникнення – до 2500 доларів на день.
Попри успіхи, бот не був бездоганним. Як зазначають дослідники у своїй статті, близько 18% його звітів виявилися хибнопозитивними, і він пропустив одну очевидну помилку на вебсторінці, яку помітили більшість людей.
Проте саме машина виявила застарілу сторінку з реальною вразливістю, яку не бачили браузери людей. Artemis використав іншу програму для читання сторінки – Curl, що і дало змогу знайти помилку.
Керівник системної та мережевої безпеки Стенфорда Алекс Келлер назвав експеримент корисним способом підсилення кіберзахисту університету. Він наголосив, що команди мали повний контроль над запуском бота, включно з можливістю миттєвого вимкнення у разі потреби.
“На мою думку, користь значно переважувала будь-який ризик”, – додав Келлер.
Інструменти на базі ШІ дедалі активніше використовують для пошуку вразливостей. За даними HackerOne, 70% дослідників безпеки вже застосовують такі засоби. Але в компанії Anthropic попереджають про ризики.
“Ми живемо в той час, коли багато хто може підвищити свою продуктивність, щоб знаходити помилки в надзвичайних масштабах”, – наголосив керівник відділу розвідки загроз Джейкоб Кляйн.
Разом з тим експерти визнають і позитивний бік. Професор Стенфорда Ден Боне вбачає у появі таких систем можливість перевіряти значно більше коду та зміцнювати мережевий захист у довгостроковій перспективі. У короткостроковій – існує велика кількість програмного забезпечення, яке не проходило перевірки моделями ШІ та “під загрозою того, що LLM знайде нові вразливості”.
У спільноті розробників наслідки вже відчутні. Розробник програми Curl Даніель Стенберг розповів, що торік його проєкт отримував хвилі хибних звітів, згенерованих інструментами ШІ. Але згодом ситуація змінилася – з’явилися понад 400 якісних повідомлень нового покоління.
“Штучний інтелект видає нам купу нісенітниці та брехні, і водночас його можна використовувати для виявлення помилок, яких ніхто раніше не знаходив”, – зазначив Стенберг.
Стенфордський експеримент засвідчив, що боти, подібні до Artemis, уже здатні працювати на рівні висококваліфікованих фахівців. Хоча їхня точність потребує вдосконалення, швидкість і масштаб виявлення загроз ставлять нові виклики для безпеки програмного забезпечення по всьому світу.
