Foto oleh cesc maymo/getty gambar
|
Sebuah laporan baru -baru ini dari perusahaan keamanan perusahaan Cato Networks telah membunyikan peringatan tentang risiko keamanan yang terkait dengan chatbots AI generatif. Temuan, yang diuraikan dalam Laporan Ancaman Cato CTRL 2025, menunjukkan bahwa bahkan orang-orang dengan pengetahuan teknis yang sangat sedikit dapat memanfaatkan model AI untuk membuat perangkat lunak berbahaya yang bertujuan mencuri informasi sensitif yang disimpan di browser web.
Laporan tersebut menjelaskan bahwa seorang peneliti, yang menurut Cato tidak memiliki “pengalaman pengkodean malware sebelumnya,” berhasil menggunakan alat AI seperti Deepseek R1 dan V3, Microsoft Copilot, dan GPT-4O Openai untuk membangun infosteal krom yang “berfungsi penuh”. Alat berbahaya ini dibuat untuk mengeluarkan nama pengguna yang disimpan, kata sandi, dan data pribadi lainnya dari Chrome.
“Peneliti menciptakan dunia fiksi terperinci di mana setiap alat Gen AI memainkan peran – dengan tugas dan tantangan yang ditugaskan,” kata laporan itu. “Melalui rekayasa naratif ini, peneliti melewati kontrol keamanan dan secara efektif menormalkan operasi terbatas.”
Cato telah menamai metode yang digunakan dalam serangan ini “dunia imersif,” sebuah proses yang menyoroti kelemahan dalam model chatbot yang banyak digunakan. Sementara model Deepseek sudah dikenal karena langkah -langkah keamanan mereka yang lemah, fakta bahwa teknik dunia yang mendalam bekerja dengan mudah bahkan melawan sistem dengan tim keselamatan yang kuat, seperti yang ada di Openai dan Microsoft, mengkhawatirkan.
“Teknik jailbreak LLM baru kami […] Seharusnya diblokir oleh Jenderal AI pagar pembatas. Tidak, ”kata Etay Maor, kepala ahli strategi keamanan Cato, menekankan betapa seriusnya masalah ini.
Laporan Cato menyebutkan bahwa mereka telah membagikan temuannya dengan perusahaan yang relevan. Openai dan Microsoft mengkonfirmasi bahwa mereka menerima laporan itu, tetapi Deepseek tidak merespons. Google juga mengakui temuan tersebut tetapi memilih untuk tidak meninjau kode kritis ketika Cato menawarkannya.
Mengawasi ancaman dari AI generatif telah menjadi lebih penting dari sebelumnya, karena laporan tersebut menggambarkan kemampuan untuk memanipulasi sistem ini sebagai “lonceng alarm” untuk para profesional cybersecurity. Ini menunjukkan betapa mudahnya seseorang dapat menjadi “aktor ancaman nol-pengetahuan,” yang berarti mereka membutuhkan sedikit keahlian untuk melakukan serangan siber yang sukses.
Ada semakin sedikit hambatan untuk masuk saat membuat dengan chatbots. Ini berarti penyerang membutuhkan lebih sedikit keahlian di muka untuk menjadi sukses. Untuk mengurangi risiko dari ancaman bertenaga AI, Cato merekomendasikan penggunaan strategi keamanan berbasis AI. Berfokus pada pelatihan yang mengikuti lanskap cybersecurity yang berubah dapat membantu tim menangani tantangan yang dibawa oleh alat AI generatif.
Sumber: PrnewswireZdnet, infosecurity-magazine
Diterbitkan: 18 Mar 2025 01:30