Các Đại lý Trí tuệ Nhân tạo Đang Trở nên Thông minh Hơn và Bề mặt Tấn công Của Chúng Đang Trở nên Lớn hơn

Khi các đại lý trí tuệ nhân tạo bắt đầu đặt lịch họp, thực thi mã và duyệt web thay mặt bạn, cuộc trò chuyện về an ninh mạng đã thay đổi. Không chậm, mà thay vào đó là qua đêm.

Điều gì từng là một hệ thống phần mềm được chứa, dự đoán được đã trở thành thứ gì đó có lý do, lập kế hoạch và thực hiện hành động trên các công cụ và API mà chúng hầu như không biết tồn tại một năm trước.

Điều đó thực sự thú vị, và nó cũng thực sự đáng sợ, vì bề mặt tấn công đi cùng với sự tự chủ đó là khổng lồ, và hầu hết các tổ chức chỉ mới bắt đầu hiểu được ý nghĩa của việc cho phép các đại lý vào cơ sở hạ tầng của họ.

Từ Chatbot đến Người vận hành

Lời hứa ban đầu của trí tuệ nhân tạo là đơn giản: hỏi một câu hỏi, nhận được một câu trả lời. Điều đó vẫn đúng cho hầu hết các tương tác của người tiêu dùng, nhưng nó không phải là những gì đang xảy ra trong các triển khai doanh nghiệp nữa. Ngày nay, các đại lý đang được cấp quyền, khóa API và khả năng xóa, tạo và chú thích dữ liệu, cũng như thực hiện hành động thực sự trong các hệ thống có hậu quả thực sự.

Sự thay đổi đã xảy ra nhanh chóng. Trong chưa đầy hai năm, các đại lý trí tuệ nhân tạo đã chuyển từ việc tạo văn bản sang cho phép chúng tôi chạy các thiết lập đa đại lý mượt mà. Họ đang đọc email, kích hoạt các quy trình làm việc, truy vấn cơ sở dữ liệu và trong một số trường hợp, quản lý các đại lý khác dưới họ. Mức độ truy cập đó trước đây đòi hỏi một quá trình mua sắm dài và một người trong vòng lặp. Giờ đây nó chỉ là một tệp cấu hình và một vài cuộc gọi API

Truy cập nhiều hơn có nghĩa là Tiếp xúc nhiều hơn

Các cuộc tấn công phần mềm truyền thống có một hồ sơ dự đoán được. Có một điểm nhập cảnh được biết, một điểm yếu được biết, một bản vá được biết. Các đại lý trí tuệ nhân tạo phá vỡ mô hình đó vì chúng được thiết kế động. Chúng không theo một đường dẫn mã tĩnh. Chúng suy luận về việc làm gì tiếp theo, điều đó có nghĩa là hành vi của chúng khó dự đoán và khó kiểm tra sau khi thực tế.

Sự khó dự đoán đó hữu ích cho việc hoàn thành công việc. Nó cũng là một lợi thế cho bất kỳ ai cố gắng khai thác hệ thống. Khi một đại lý có thể quyết định, giữa nhiệm vụ, gọi một API bên ngoài hoặc kéo một công cụ của bên thứ ba, không có một chu vi sạch để bảo vệ.

Các đội an ninh mạng đã quen với việc bảo vệ các bề mặt được biết và giám sát chi phí Kubernetes. Các đại lý tiếp tục khám phá ra các bề mặt mới và khai thác, và không ai đang ánh xạ chúng trong thời gian thực. Trước khi bạn biết, ai đó có thể chiếm quyền truy cập và đapatkan quyền kiểm soát toàn bộ “sinh vật” trí tuệ nhân tạo của bạn với một động tác.

Tích hợp Câu lệnh là SQL Tích hợp Mới

Nếu có một vector tấn công mà các nhà nghiên cứu an ninh mạng tiếp tục quay lại, đó là tích hợp câu lệnh. Ý tưởng là thẳng thắn: thay vì khai thác một điểm yếu mã, một kẻ tấn công sẽ thao túng các lệnh mà một đại lý nhận được thông qua các đầu vào của nó. Một lệnh độc hại được nhúng vào một trang web, một tài liệu hoặc thậm chí một email có thể chuyển hướng hành động tiếp theo của đại lý.

Điều làm cho điều này đặc biệt sắc nét là các đại lý thường làm chính xác những gì họ được chỉ dẫn. Họ đang xử lý nội dung từ web, từ tin nhắn của người dùng, từ các công cụ của bên thứ ba. Bất kỳ nội dung nào là một bề mặt tiêm độc tiềm năng. Một đại lý đọc một tài liệu bị tổn thương và sau đó thực hiện các cuộc gọi API dựa trên nội dung của nó đã bị chiếm quyền, và nó có thể không ghi lại bất cứ điều gì làm cho chuỗi nguyên nhân trở nên rõ ràng.

Các biện pháp phòng thủ ở đây là thực sự nhưng không đầy đủ. Việc cô lập các hành động của đại lý, hạn chế các công cụ mà một đại lý có thể gọi trong một số ngữ cảnh và xây dựng các điểm kiểm tra của con người vào các quy trình làm việc quan trọng đều giảm thiểu rủi ro. Chúng không loại bỏ nó. Và hầu hết các tổ chức chưa triển khai thậm chí các biện pháp cơ bản.

Vấn đề Tin cậy Trong Hệ thống Đa đại lý

Hệ thống đa đại lý giới thiệu một lớp phức tạp mà dễ bị đánh giá thấp. Khi một đại lý sắp xếp nhiều đại lý khác, có một hệ thống phân cấp tin cậy. Người sắp xếp truyền lệnh xuống, và các đại lý con theo dõi chúng. Nếu người sắp xếp bị tổn thương, mỗi đại lý dưới nó đều bị tổn thương, và bán kính ảnh hưởng trở nên lớn rất nhanh.

Cũng có vấn đề về việc cấp phép quá mức. Các đại lý thường được cấp phép nhiều hơn mức cần thiết vì nó dễ dàng hơn để cấp phép rộng rãi từ đầu so với việc tinh chỉnh chúng theo từng giai đoạn. Một đại lý nghiên cứu không cần quyền ghi vào cơ sở dữ liệu sản xuất.

Một đại lý lập lịch không cần truy cập vào hồ sơ tài chính. Đúng, nó cảm thấy an toàn khi mọi thứ đều liên kết, nhưng nó thực sự quá rủi ro để thấy bất kỳ lợi ích không giảm đi. Nhưng các ranh giới trở nên mờ trong thực tế, và các nguyên tắc cấp phép tối thiểu mà hoạt động tốt trong lý thuyết sẽ bị bỏ qua một cách im lặng trong cuộc chạy đua để vận chuyển.

Biện pháp An ninh Hợp lý Trông Như thế nào ở đây

Không có giải pháp đơn lẻ nào làm cho việc triển khai đại lý trở nên an toàn. Đó là một vấn đề phân lớp và nó cần một phản ứng phân lớp. Các tổ chức thực hiện tốt điều này thường bắt đầu với các biện pháp kiểm soát truy cập: cấp cho mỗi đại lý một phạm vi xác định, hẹp và xây dựng các bước xem xét vào bất kỳ hành động nào chạm vào các hệ thống hoặc dịch vụ bên ngoài nhạy cảm.

Khả năng quan sát cũng quan trọng như việc ngăn chặn. Nếu một đại lý làm điều gì đó không mong đợi, các đội cần một bản ghi đầy đủ về các lệnh mà nó nhận được, các công cụ mà nó gọi và những gì nó trả về. Hầu hết các thiết lập ghi nhật ký không được xây dựng với loại độ nét đó, và việc hồi phục nó sau khi thực tế là rất đau đớn. Xây dựng nó từ đầu là đáng để tạo ra sự ma sát.

Kiểm tra đối thủ cũng bị sử dụng dưới mức. Kiểm tra các đại lý, đặc biệt là cố gắng tiêm lệnh độc hại và xem điều gì xảy ra, sẽ lộ ra các điểm yếu mà việc xem xét mã tĩnh sẽ không bao giờ bắt được. Điều đó không thoải mái khi nghĩ về, nhưng những người sẽ cố gắng khai thác các hệ thống này đã làm điều đó. Đi trước họ là động thái duy nhất hợp lý.

Suy nghĩ Cuối cùng

Các đại lý trí tuệ nhân tạo sẽ trở thành một phần quan trọng hơn trong cách các tổ chức hoạt động, và sự thay đổi đó đã bắt đầu. Cuộc trò chuyện về an ninh mạng cần phải bắt kịp, và nhanh chóng. Các rủi ro là thực sự, các vector tấn công là mới, và cửa sổ để vượt lên trên chúng đang thu hẹp lại.

Hiểu biết về cảnh quan mối đe dọa cho các hệ thống tự động trí tuệ nhân tạo không còn là tùy chọn nữa. Đó là một trong những điều quan trọng nhất mà các đội an ninh mạng và kỹ thuật có thể làm ngay bây giờ, và đồng hồ để làm điều đó đã bắt đầu.