Συνδεθείτε μαζί μας

Η Αμυστηρή Επιταγή: Γιατί τα Παραδοσιακά Μοντέλα Ασφαλείας Καταρρέουν Όταν οι Πράκτορες Τεχνητής Νοημοσύνης Αγγίζουν Κώδικα

Ηγέτες της σκέψης

Η Αμυστηρή Επιταγή: Γιατί τα Παραδοσιακά Μοντέλα Ασφαλείας Καταρρέουν Όταν οι Πράκτορες Τεχνητής Νοημοσύνης Αγγίζουν Κώδικα

mm
Δημοσιευμένα

Τον Απρίλιο 2023, Η Samsung ανακάλυψε ότι οι μηχανικοί της είχαν διαρρεύσει ευαίσθητες πληροφορίες στο ChatGPT. Αλλά αυτό ήταν τυχαίο. Τώρα φανταστείτε αν αυτά τα αποθετήρια κώδικα περιείχαν σκόπιμα φυτεμένες οδηγίες, αόρατες στους ανθρώπους αλλά επεξεργασμένες από την Τεχνητή Νοημοσύνη, σχεδιασμένες να εξάγουν όχι μόνο κώδικα αλλά και κάθε κλειδί API, διαπιστευτήριο βάσης δεδομένων και διακριτικό υπηρεσίας στα οποία μπορούσε να έχει πρόσβαση η Τεχνητή Νοημοσύνη. Αυτό δεν είναι υποθετικό. Οι ερευνητές ασφαλείας έχουν ήδη δείξει Αυτές οι επιθέσεις «αόρατης διδασκαλίας» λειτουργούν. Το ερώτημα δεν είναι αν αυτό θα συμβεί, αλλά πότε.

Το Σύνορο που Δεν Υπάρχει Πλέον

Για δεκαετίες, έχουμε χτίσει την ασφάλεια με βάση μια θεμελιώδη υπόθεση: ο κώδικας είναι κώδικας και τα δεδομένα είναι δεδομένα. Η έγχυση SQL μας έμαθε να παραμετροποιούμε ερωτήματα. Το cross-site scripting μας έμαθε να αποφεύγουμε τις εξόδους. Μάθαμε να χτίζουμε τείχη ανάμεσα σε αυτό που κάνουν τα προγράμματα και σε αυτό που εισάγουν οι χρήστες.

Με τους πράκτορες της Τεχνητής Νοημοσύνης, αυτό το όριο έχει εξαφανιστεί.

Σε αντίθεση με το ντετερμινιστικό λογισμικό που ακολουθεί προβλέψιμες διαδρομές, τα Μεγάλα Γλωσσικά Μοντέλα είναι πιθανοτικά μαύρα κουτιά που δεν μπορούν να διακρίνουν μεταξύ νόμιμων οδηγιών προγραμματιστή και κακόβουλων εισροών. Όταν ένας εισβολέας τροφοδοτεί έναν βοηθό κωδικοποίησης τεχνητής νοημοσύνης με μια προτροπή, δεν παρέχει απλώς δεδομένα. Ουσιαστικά επαναπρογραμματίζει την εφαρμογή εν κινήσει. Η είσοδος έχει γίνει το ίδιο το πρόγραμμα.

Αυτό αντιπροσωπεύει μια θεμελιώδη ρήξη με όλα όσα γνωρίζουμε για την ασφάλεια εφαρμογών. Τα παραδοσιακά τείχη προστασίας που βασίζονται σε σύνταξη, τα οποία αναζητούν κακόβουλα μοτίβα όπως DROP TABLE ή tags, fail completely against natural language attacks. Researchers have demonstrated “semantic substitution” techniques where replacing “API keys” with “apples” in prompts allows attackers to bypass filters entirely. How do you firewall intent when it’s disguised as harmless conversation?

Η πραγματικότητα του μηδενικού κλικ που κανείς δεν συζητά

Να τι δεν καταλαβαίνουν οι περισσότερες ομάδες ασφαλείας: η άμεση έγχυση δεν απαιτεί από τον χρήστη να πληκτρολογήσει οτιδήποτε. Αυτά είναι συχνά exploits με μηδενικό κλικ. Ένας πράκτορας τεχνητής νοημοσύνης που απλώς σαρώνει ένα αποθετήριο κώδικα για μια συνηθισμένη εργασία, εξετάζει ένα αίτημα έλξης ή διαβάζει την τεκμηρίωση του API μπορεί να ενεργοποιήσει μια επίθεση χωρίς καμία ανθρώπινη παρέμβαση.

Σκεφτείτε αυτό το σενάριο, με βάση τεχνικές που οι ερευνητές έχουν ήδη αποδείξειΈνας κακόβουλος παράγοντας ενσωματώνει αόρατες οδηγίες σε σχόλια HTML μέσα στην τεκμηρίωση μιας δημοφιλούς βιβλιοθήκης ανοιχτού κώδικα. Κάθε βοηθός τεχνητής νοημοσύνης που αναλύει αυτόν τον κώδικα, είτε πρόκειται για GitHub Copilot, Amazon CodeWhisperer είτε για οποιουσδήποτε βοηθούς εταιρικού κώδικα, γίνεται πιθανός συλλέκτης διαπιστευτηρίων. Μία παραβιασμένη βιβλιοθήκη θα μπορούσε να σημαίνει χιλιάδες εκτεθειμένα περιβάλλοντα ανάπτυξης.

Ο κίνδυνος δεν είναι το ίδιο το LLM. Είναι η υπηρεσία που του δίνουμε. Τη στιγμή που ενσωματώσαμε αυτά τα μοντέλα με εργαλεία και API, επιτρέποντάς τους να ανακτούν δεδομένα, να εκτελούν κώδικα και να έχουν πρόσβαση σε μυστικά, μετατρέψαμε τους χρήσιμους βοηθούς σε τέλειους φορείς επίθεσης. Ο κίνδυνος δεν κλιμακώνεται με την ευφυΐα του μοντέλου. Κλιμακώνεται με τη συνδεσιμότητά του.

Γιατί η τρέχουσα προσέγγιση είναι καταδικασμένη

Η βιομηχανία έχει αυτή τη στιγμή εμμονή με την «ευθυγράμμιση» μοντέλων και την κατασκευή καλύτερων τείχους προστασίας (firewalls). Το OpenAI προσθέτει περισσότερα προστατευτικά κιγκλιδώματα. Το Anthropic επικεντρώνεται στην συνταγματική Τεχνητή Νοημοσύνη. Όλοι προσπαθούν να δημιουργήσουν μοντέλα που δεν μπορούν να παραπλανηθούν.

Αυτή είναι μια χαμένη μάχη.

Αν μια Τεχνητή Νοημοσύνη είναι αρκετά έξυπνη ώστε να είναι χρήσιμη, είναι αρκετά έξυπνη ώστε να εξαπατηθεί. Πέφτουμε σε αυτό που αποκαλώ «παγίδα εξυγίανσης»: υποθέτοντας ότι το καλύτερο φιλτράρισμα εισόδου θα μας σώσει. Αλλά οι επιθέσεις μπορούν να αποκρυφθούν ως αόρατο κείμενο σε σχόλια HTML, να θαμμένες βαθιά στην τεκμηρίωση ή να κωδικοποιηθούν με τρόπους που δεν έχουμε φανταστεί ακόμα. Δεν μπορείς να εξυγιάνεις αυτό που δεν μπορείς να κατανοήσεις με βάση τα συμφραζόμενα, και το συμφραζόμενο είναι ακριβώς αυτό που κάνει τα LLM ισχυρά.

Η βιομηχανία πρέπει να αποδεχτεί μια σκληρή αλήθεια: η άμεση έγχυση θα επιτύχει. Το ερώτημα είναι τι θα συμβεί όταν συμβεί αυτό.

Η Αρχιτεκτονική Μεταρρύθμιση που Χρειαζόμαστε

Αυτή τη στιγμή βρισκόμαστε σε μια «φάση ενημέρωσης κώδικα», προσθέτοντας απεγνωσμένα φίλτρα εισόδου και κανόνες επικύρωσης. Αλλά ακριβώς όπως τελικά μάθαμε ότι η αποτροπή της έγχυσης SQL απαιτούσε παραμετροποιημένα ερωτήματα, όχι καλύτερη διαφυγή συμβολοσειρών, χρειαζόμαστε μια αρχιτεκτονική λύση για την ασφάλεια της Τεχνητής Νοημοσύνης.

Η απάντηση βρίσκεται σε μια αρχή που ακούγεται απλή, αλλά απαιτεί επανεξέταση του τρόπου με τον οποίο κατασκευάζουμε συστήματα: Οι πράκτορες της Τεχνητής Νοημοσύνης δεν πρέπει ποτέ να κατέχουν τα μυστικά που χρησιμοποιούν.

Δεν πρόκειται για καλύτερη διαχείριση διαπιστευτηρίων ή βελτιωμένες λύσεις θυρίδας. Πρόκειται για την αναγνώριση των πρακτόρων τεχνητής νοημοσύνης ως μοναδικών, επαληθεύσιμων ταυτοτήτων και όχι ως χρηστών που χρειάζονται κωδικούς πρόσβασης. Όταν ένας πράκτορας τεχνητής νοημοσύνης χρειάζεται πρόσβαση σε έναν προστατευμένο πόρο, θα πρέπει:

  1. Επαληθεύστε την ταυτότητά του χρησιμοποιώντας την επαληθεύσιμη ταυτότητά του (όχι ένα αποθηκευμένο μυστικό)

  2. Λάβετε διαπιστευτήρια just-in-time που ισχύουν μόνο για τη συγκεκριμένη εργασία

  3. Να λήγουν αυτόματα αυτά τα διαπιστευτήρια εντός δευτερολέπτων ή λεπτών

  4. Ποτέ μην αποθηκεύετε ή ακόμα και μην «βλέπετε» μακροχρόνια μυστικά

Αναδύονται αρκετές προσεγγίσεις. Ρόλοι AWS IAM για λογαριασμούς υπηρεσιών, Ταυτότητα Φόρτου Εργασίας της Google, Τα δυναμικά μυστικά του HashiCorp Vaultκαι οι ειδικά σχεδιασμένες λύσεις όπως το Zero Trust Provisioning της Akeyless υποδεικνύουν όλα αυτό το μέλλον χωρίς μυστικότητα. Οι λεπτομέρειες υλοποίησης ποικίλλουν, αλλά η αρχή παραμένει: εάν η Τεχνητή Νοημοσύνη δεν έχει μυστικά να κλέψει, η άμεση έγχυση γίνεται μια σημαντικά μικρότερη απειλή.

Το Αναπτυξιακό Περιβάλλον του 2027

Μέσα σε τρία χρόνια, το αρχείο .env θα είναι νεκρό στην ανάπτυξη με επαυξημένη τεχνητή νοημοσύνη. Τα κλειδιά API μακράς διαρκείας που βρίσκονται σε μεταβλητές περιβάλλοντος θα φαίνονται καθώς πλέον βλέπουμε τους κωδικούς πρόσβασης σε απλό κείμενο: ένα ντροπιαστικό λείψανο μιας πιο αφελούς εποχής.

Αντ' αυτού, κάθε πράκτορας Τεχνητής Νοημοσύνης θα λειτουργεί με αυστηρό διαχωρισμό προνομίων. Πρόσβαση μόνο για ανάγνωση από προεπιλογή. Προσθήκη σε λίστα επιτρεπόμενων ενεργειών ως στάνταρ. Περιβάλλοντα εκτέλεσης με περιβάλλοντα δοκιμών ως απαίτηση συμμόρφωσης. Θα σταματήσουμε να προσπαθούμε να ελέγξουμε τι σκέφτεται η Τεχνητή Νοημοσύνη και θα επικεντρωθούμε αποκλειστικά στον έλεγχο των δυνατοτήτων της.

Δεν πρόκειται απλώς για μια τεχνική εξέλιξη. Είναι μια θεμελιώδης μετατόπιση στα μοντέλα εμπιστοσύνης. Μεταβαίνουμε από το «εμπιστεύσου αλλά επαλήθευσε» στο «ποτέ μην εμπιστεύεσαι, πάντα να επαληθεύεις και να υποθέτεις συμβιβασμό». Η αρχή του ελάχιστου προνομίου, που διακηρύσσεται εδώ και καιρό αλλά σπάνια εφαρμόζεται, καθίσταται μη διαπραγματεύσιμη όταν ο νεότερος προγραμματιστής σας είναι μια Τεχνητή Νοημοσύνη που επεξεργάζεται χιλιάδες δυνητικά κακόβουλες πληροφορίες καθημερινά.

Η Επιλογή που Αντιμετωπίζουμε

Η ενσωμάτωση της Τεχνητής Νοημοσύνης (ΤΝ) στην ανάπτυξη λογισμικού είναι αναπόφευκτη και σε μεγάλο βαθμό ωφέλιμη. Το GitHub αναφέρει ότι οι προγραμματιστές που χρησιμοποιούν το Copilot ολοκληρώνουν εργασίες 55% πιο γρήγοραΤα κέρδη παραγωγικότητας είναι πραγματικά και κανένας οργανισμός που θέλει να παραμείνει ανταγωνιστικός δεν μπορεί να τα αγνοήσει.

Βρισκόμαστε όμως σε ένα σταυροδρόμι. Μπορούμε να συνεχίσουμε στην τρέχουσα πορεία προσθέτοντας περισσότερα προστατευτικά κιγκλιδώματα, κατασκευάζοντας καλύτερα φίλτρα, ελπίζοντας ότι μπορούμε να δημιουργήσουμε πράκτορες Τεχνητής Νοημοσύνης που δεν μπορούν να εξαπατηθούν. Ή μπορούμε να αναγνωρίσουμε τη θεμελιώδη φύση της απειλής και να ανοικοδομήσουμε την αρχιτεκτονική ασφαλείας μας αναλόγως.

Το περιστατικό με τη Samsung ήταν μια προειδοποιητική βολή. Η επόμενη παραβίαση δεν θα είναι τυχαία και δεν θα περιοριστεί σε μία μόνο εταιρεία. Καθώς οι πράκτορες της Τεχνητής Νοημοσύνης αποκτούν περισσότερες δυνατότητες και έχουν πρόσβαση σε περισσότερα συστήματα, ο πιθανός αντίκτυπος αυξάνεται εκθετικά.

Το ερώτημα για κάθε CISO, κάθε ηγέτη μηχανικής και κάθε προγραμματιστή είναι απλό: Όταν η άμεση έγχυση επιτύχει στο περιβάλλον σας (και θα το κάνει), τι θα βρει ο εισβολέας; Θα ανακαλύψει έναν θησαυρό από διαπιστευτήρια μακράς διαρκείας ή θα βρει έναν πράκτορα τεχνητής νοημοσύνης που, παρά το γεγονός ότι έχει παραβιαστεί, δεν έχει μυστικά να κλέψει;

Η επιλογή που θα κάνουμε τώρα θα καθορίσει αν η Τεχνητή Νοημοσύνη θα γίνει ο μεγαλύτερος επιταχυντής της ανάπτυξης λογισμικού ή η μεγαλύτερη ευπάθεια που έχουμε δημιουργήσει ποτέ. Η τεχνολογία για την κατασκευή ασφαλών, χωρίς μυστικότητα συστημάτων Τεχνητής Νοημοσύνης υπάρχει σήμερα. Το ερώτημα είναι αν θα την εφαρμόσουμε πριν μας το αναγκάσουν οι εισβολείς.

Το OWASP έχει ήδη αναγνωρίσει την άμεση ένεση ως τον κίνδυνο #1 στις 10 κορυφαίες θέσεις για αιτήσεις LLM. Το NIST αναπτύσσει οδηγίες σε αρχιτεκτονικές μηδενικής εμπιστοσύνης. Τα πλαίσια υπάρχουν. Το μόνο ερώτημα είναι η ταχύτητα υλοποίησης έναντι της εξέλιξης της επίθεσης.

Βιογραφικό: Ο Refael Angel είναι ο συνιδρυτής και ο CTO της Άκεϊλς, όπου ανέπτυξε την κατοχυρωμένη με δίπλωμα ευρεσιτεχνίας τεχνολογία κρυπτογράφησης Zero-Trust της εταιρείας. Έμπειρος μηχανικός λογισμικού με βαθιά εξειδίκευση στην κρυπτογραφία και την ασφάλεια στο cloud, ο Refael εργάστηκε προηγουμένως ως Ανώτερος Μηχανικός Λογισμικού στο κέντρο Έρευνας και Ανάπτυξης της Intuit στο Ισραήλ, όπου κατασκεύασε συστήματα για τη διαχείριση κλειδιών κρυπτογράφησης σε δημόσια περιβάλλοντα cloud και σχεδίασε υπηρεσίες ελέγχου ταυτότητας μηχανών. Είναι κάτοχος πτυχίου Bachelor of Science στην Επιστήμη Υπολογιστών από το Jerusalem College of Technology, το οποίο απέκτησε σε ηλικία 19 ετών.

Σχετικά θέματα:
mm

Ο Ρεφαέλ Άντζελ είναι ο συνιδρυτής και ο CTO της Άκεϊλς, όπου ανέπτυξε την κατοχυρωμένη με δίπλωμα ευρεσιτεχνίας τεχνολογία κρυπτογράφησης Zero-Trust της εταιρείας. Έμπειρος μηχανικός λογισμικού με βαθιά εξειδίκευση στην κρυπτογραφία και την ασφάλεια στο cloud, ο Refael εργάστηκε προηγουμένως ως Ανώτερος Μηχανικός Λογισμικού στο κέντρο Έρευνας και Ανάπτυξης της Intuit στο Ισραήλ, όπου κατασκεύασε συστήματα για τη διαχείριση κλειδιών κρυπτογράφησης σε δημόσια περιβάλλοντα cloud και σχεδίασε υπηρεσίες ελέγχου ταυτότητας μηχανών. Είναι κάτοχος πτυχίου Bachelor of Science στην Επιστήμη Υπολογιστών από το Jerusalem College of Technology, το οποίο απέκτησε σε ηλικία 19 ετών.