Ο CEO της CertiK προειδοποιεί για κινδύνους ασφαλείας των AI agents καθώς η ανάπτυξή τους ξεπερνά την απομόνωση

Η προειδοποίηση για τους κινδύνους ασφαλείας των πρακτόρων τεχνητής νοημοσύνης γίνεται όλο και πιο έντονη — και πιο επείγουσα. Ο Ronghui Gu, συνιδρυτής και Διευθύνων Σύμβουλος της CertiK, λέει ότι η βιασύνη για την ανάπτυξη αυτόνομων πρακτόρων τεχνητής νοημοσύνης σε εφαρμογές, δίκτυα και χρηματοοικονομικά συστήματα κινείται ταχύτερα από τους βασικούς ελέγχους ασφαλείας που απαιτούνται για τον περιορισμό τους.

Αυτό έχει σημασία διότι αυτά τα συστήματα δεν περιορίζονται πλέον στην απάντηση ερωτημάτων σε ένα παράθυρο συνομιλίας. Ο Gu λέει ότι τους επιτρέπεται όλο και περισσότερο να διαβάζουν τοπικά αρχεία, να καλούν εξωτερικά εργαλεία, να ενεργοποιούν ροές εργασίας και να αλληλεπιδρούν με ευαίσθητους λογαριασμούς. Στην πράξη, αυτό σημαίνει ότι ένας παραβιασμένος πράκτορας δεν είναι απλώς ένας ελαττωματικός βοηθός. Μπορεί να γίνει εσωτερική απειλή με πρόσβαση σε διαπιστευτήρια, ηλεκτρονικό ταχυδρομείο και ακόμη και χρηματοοικονομική υποδομή.

Το μήνυμα του Gu είναι σαφές: μην τους αναπτύσσετε μαζικά με αυτόν τον τρόπο. Υποστηρίζει ότι οι πράκτορες τεχνητής νοημοσύνης πρέπει να ελέγχονται για ιούς και να απομονώνονται πριν τους χορηγηθεί πρόσβαση σε ευαίσθητα δεδομένα ή κρίσιμα συστήματα. Χωρίς αυτόν τον διαχωρισμό, προειδοποιεί, χρήστες και εταιρείες μπορεί να παραχωρούν ευρεία εσωτερική πρόσβαση σε λογισμικό που μπορεί να χειραγωγηθεί πολύ πιο εύκολα από όσο πολλοί περιμένουν.

Γιατί η CertiK λέει ότι οι κίνδυνοι ασφαλείας των πρακτόρων τεχνητής νοημοσύνης αυξάνονται γρήγορα

Η άποψη της CertiK είναι ότι το τρέχον κύμα ανάπτυξης πρακτόρων δημιουργεί ένα σοβαρό πρόβλημα ασφαλείας. Ο Gu το περιγράφει ως μια βιασύνη που συσσωρεύει βαρύ χρέος ασφαλείας, οδηγούμενη από τον ενθουσιασμό για την αυτοματοποίηση ενώ οι βασικές προστασίες υστερούν.

Στο επίκεντρο αυτής της προειδοποίησης βρίσκεται η εμπιστοσύνη. Πολλά εργαλεία τεχνητής νοημοσύνης ανοιχτού κώδικα, υποστηρίζει ο Gu, αντιμετωπίζονται ως ασφαλή επειδή εκτελούνται τοπικά ή συνδέονται μέσω οικείων καναλιών, συμπεριλαμβανομένων τυπικών εφαρμογών συνομιλίας όπως το WhatsApp. Ωστόσο, η τοπική πρόσβαση δεν καθιστά έναν πράκτορα αξιόπιστο. Μόλις οι χρήστες επιτρέψουν σε έναν πράκτορα να επιθεωρεί αποθηκευτικό χώρο, να βλέπει ιστορικά εκτέλεσης ή να χρησιμοποιεί προσωπικά και επαγγελματικά διαπιστευτήρια, το λογισμικό μπορεί να φτάσει βαθιά στις πιο ευαίσθητες περιοχές ενός συστήματος.

Αυτός είναι ένας λόγος για τον οποίο οι κίνδυνοι ασφαλείας των πρακτόρων τεχνητής νοημοσύνης προσελκύουν περισσότερη προσοχή πέρα από τον συνήθη κύκλο της κυβερνοασφάλειας. Δεν πρόκειται μόνο για κακόβουλο λογισμικό με την παλιά έννοια. Πρόκειται για αυτόνομα συστήματα στα οποία χορηγείται άδεια να ενεργούν, να ανακτούν πληροφορίες και να κινούνται μέσα σε ροές εργασίας προτού ελεγχθούν ή περιοριστούν κατάλληλα.

Πώς μη απομονωμένοι πράκτορες τεχνητής νοημοσύνης μπορούν να παραβιαστούν

Η προειδοποίηση της CertiK εστιάζει ιδιαίτερα στο πόσο εύκολα μπορούν να ανακατευθυνθούν αυτά τα συστήματα. Ο Gu λέει ότι μη απομονωμένοι πράκτορες μπορούν να εκθέσουν τοπικά αρχεία, διαπιστευτήρια, λογαριασμούς ηλεκτρονικού ταχυδρομείου και χρηματοοικονομικούς λογαριασμούς. Μόλις ένας πράκτορας έχει αυτό το επίπεδο πρόσβασης, η ζημία από παραβίαση δεν είναι πλέον θεωρητική. Ένα χειραγωγημένο bot μπορεί να είναι σε θέση να διεισδύσει σε δεδομένα ή να προκαλέσει μη εξουσιοδοτημένες μεταφορές κεφαλαίων.

Επιθέσεις έγχυσης οδηγιών μέσω συνηθισμένων αρχείων

Μία από τις πιο σαφείς απειλές είναι οι επιθέσεις έγχυσης οδηγιών. Σύμφωνα με τον Gu, κρυφές οδηγίες μπορούν να ενσωματωθούν μέσα σε περιεχόμενο που φαίνεται αβλαβές, συμπεριλαμβανομένης μιας ιστοσελίδας, ενός εγγράφου PDF ή ενός εισερχόμενου μηνύματος ηλεκτρονικού ταχυδρομείου.

Όταν ένας πράκτορας τεχνητής νοημοσύνης διαβάζει αυτό το περιεχόμενο για να ολοκληρώσει μια εργασία, μπορεί να αποτύχει να διακρίνει αξιόπιστες οδηγίες από μη αξιόπιστες εξωτερικές εισόδους. Εκείνη τη στιγμή, η συμπεριφορά του πράκτορα μπορεί να ανακατευθυνθεί αθόρυβα. Δεν εμφανίζεται καμία προφανής οδηγία κακόβουλου λογισμικού στην οθόνη. Δεν αναδύεται καμία δραματική προειδοποίηση. Αντίθετα, το σύστημα αρχίζει να ακολουθεί τις οδηγίες του εισβολέα αντί για τους αρχικούς κανόνες.

Αυτός είναι ένας σημαντικός λόγος για τον οποίο αυτό το ζήτημα έχει σημασία τώρα. Για πολλούς χρήστες, ένα έγγραφο ή μήνυμα ηλεκτρονικού ταχυδρομείου που φαίνεται αβλαβές δεν αισθάνεται ως απειλή σε επίπεδο συστήματος. Αλλά με αυτόνομα εργαλεία, αυτά τα συνηθισμένα αρχεία μπορούν να γίνουν το κανάλι μέσω του οποίου παραβιάζεται ο πράκτορας.

Κακόβουλες δεξιότητες και ψεύτικες εξαρτήσεις

Η CertiK λέει επίσης ότι το οικοσύστημα γύρω από τους πράκτορες εμφανίζει ήδη βαθύτερες δομικές αδυναμίες. Η ανάλυσή της βρήκε εκατοντάδες κρίσιμες συμβουλές ασφαλείας και μη επιδιορθωμένες κοινές ευπάθειες και εκθέσεις, ή CVEs, σε δομές πρακτόρων, μαζί με εκτεθειμένα διαπιστευτήρια.

Επιπλέον, ο Gu λέει ότι η CertiK ανακάλυψε κακόβουλες δεξιότητες, ψεύτικα προγράμματα εγκατάστασης και πακέτα εξαρτήσεων που μοιάζουν με νόμιμα σε ανοιχτά κέντρα χρησιμότητας πρακτόρων. Αυτά δεν είναι απλώς αμελείς κωδικοποιητικές λάθη. Υποδεικνύουν ένα περιβάλλον όπου οι εισβολείς μπορούν να παραποιήσουν τον τρόπο με τον οποίο οι πράκτορες κατασκευάζονται, ενημερώνονται και επεκτείνονται.

Αυτό που καθιστά πιο δύσκολη την ανίχνευσή τους είναι ο τρόπος λειτουργίας αυτών των απειλών. Ο Gu λέει ότι τα κακόβουλα πρόσθετα μπορούν να παρακάμψουν τις παραδοσιακές σαρώσεις antivirus επειδή επηρεάζουν τη συμπεριφορά του πράκτορα μέσω τυπικής φυσικής γλώσσας αντί για παλαιότερα μοτίβα βασισμένα σε υπογραφές. Με απλά λόγια, ο πράκτορας μπορεί να εξαπατηθεί ώστε να κάνει το λάθος πράγμα χωρίς η επίθεση να μοιάζει με κλασικό κακόβουλο λογισμικό.

Γιατί η CertiK προωθεί την αρχιτεκτονική Zero Trust

Η απάντηση του Gu είναι μια αρχιτεκτονική Zero Trust με συνεχή επαλήθευση. Αντί να υποθέτουμε ότι ένας πράκτορας, πρόσθετο ή εξάρτηση είναι ασφαλής μόλις εγκατασταθεί, κάθε εντολή και εξάρτηση πρέπει να ελέγχεται σε συνεχή βάση.

Αυτή η προσέγγιση ταιριάζει με την κλίμακα του προβλήματος που λέει η CertiK ότι βλέπει. Η ανάλυση της εταιρείας βρήκε:

• εκατοντάδες κρίσιμες συμβουλές ασφαλείας
• μη επιδιορθωμένα CVEs
• εκτεθειμένα διαπιστευτήρια σε δομές πρακτόρων
• μονοπάτια επίθεσης που αφορούν τοπικά αρχεία, ηλεκτρονικό ταχυδρομείο και χρηματοοικονομική υποδομή

Εδώ αναδύεται η ευρύτερη σημασία. Οι κίνδυνοι ασφαλείας των πρακτόρων τεχνητής νοημοσύνης δεν αφορούν μόνο μια μεμονωμένη κακή εφαρμογή ή έναν παραβιασμένο χρήστη. Υποδεικνύουν ένα μοντέλο στο οποίο η αυτονομία επεκτείνεται πριν η απομόνωση, η σάρωση και η επαλήθευση γίνουν τυπική πρακτική. Εάν αυτά τα εργαλεία προορίζονται να χειρίζονται χρήματα, επαγγελματικές ροές εργασίας ή ιδιωτικά δεδομένα, τότε η εμπιστοσύνη δεν μπορεί να αντιμετωπίζεται ως προεπιλεγμένη ρύθμιση.

Υπάρχει επίσης μια κρυπτογραφική διάσταση που βοηθά να εξηγηθεί γιατί η CertiK χτυπά το καμπανάκι τώρα. Ο Gu λέει ότι η εταιρεία έχει παρατηρήσει γρήγορες, εφήμερες απάτες onchain που έχουν σχεδιαστεί για να στοχεύουν bots συναλλαγών τεχνητής νοημοσύνης και αυτοματοποιημένα συστήματα πρακτόρων. Αυτές οι απάτες μπορούν να διαρκέσουν μόλις 10 λεπτά ή μερικές ώρες πριν εξαφανιστούν.

Αυτή η λεπτομέρεια είναι αποκαλυπτική. Τα συστήματα που κινούνται από μηχανές μπορούν να λειτουργούν σε ταχύτητα που αφήνει ελάχιστο χρόνο για ανθρώπινη αξιολόγηση, και οι εισβολείς φαίνεται να προσαρμόζονται σε αυτή την πραγματικότητα. Ουσιαστικά, οι αυτοματοποιημένοι πράκτορες γίνονται στόχοι αυτοματοποιημένης απάτης. Το αποτέλεσμα είναι ένας νέος τύπος κύκλου επίθεσης μηχανής-εναντίον-μηχανής, ειδικά σε περιβάλλοντα συνδεδεμένα με δραστηριότητα onchain και αυτοματοποιημένη κίνηση κεφαλαίων.

Γιατί η προειδοποίηση της CertiK ξεχωρίζει τώρα

Η προειδοποίηση της CertiK έρχεται σε μια στιγμή που οι πράκτορες τεχνητής νοημοσύνης διαφημίζονται ως εργαλεία παραγωγικότητας και ψηφιακοί βοηθοί. Ωστόσο, το επιχείρημα του Gu είναι ότι η ικανότητα τρέχει μπροστά από τον περιορισμό. Όσο περισσότερο επιτρέπεται σε αυτά τα συστήματα να αγγίζουν αρχεία, διαπιστευτήρια και χρήματα, τόσο λιγότερο χώρο υπάρχει για χαλαρές παραδοχές ασφαλείας.

Η συνταγή του είναι απλή: σαρώστε τους πράκτορες για ιούς, απομονώστε τους πριν δώσετε πρόσβαση και σταματήστε να αντιμετωπίζετε την αυτονομία ως ασφαλή από προεπιλογή.

Εάν αυτή η συμβουλή αγνοηθεί, το επόμενο κύμα επιθέσεων μπορεί να μην βασίζεται πρώτα στην εξαπάτηση ανθρώπων. Μπορεί να πάνε κατευθείαν μετά τους πράκτορες που ενεργούν εκ μέρους τους.