Ένας πρώην κορυφαίος αξιωματούχος κυβερνοασφάλειας των ΗΠΑ εξέδωσε μια αυστηρή προειδοποίηση, υποστηρίζοντας ότι η αυξανόμενη χρήση της τεχνητής νοημοσύνης (AI) για τον εντοπισμό ευπαθειών λογισμικού είναι πιθανό να επιδεινώσει την κατάσταση της κυβερνοασφάλειας, αντί να τη βελτιώσει. Ο Rob Joyce, ο οποίος υπηρέτησε ως κορυφαίος σύμβουλος κυβερνοασφάλειας του Προέδρου Donald Trump και κάποτε ηγήθηκε της ελίτ ομάδας hacking της Εθνικής Υπηρεσίας Ασφαλείας (NSA), προειδοποίησε ότι το πρόβλημα δεν έγκειται στην ανακάλυψη των ελαττωμάτων, αλλά στη θεμελιώδη αδυναμία επιδιόρθωσής τους εγκαίρως.
Μιλώντας στο Cyber Defense Summit της Google στην Ουάσιγκτον, ο Joyce εξέφρασε τον σκεπτικισμό του για την αισιοδοξία που περιβάλλει τη διαχείριση ευπαθειών με γνώμονα την AI. «Κάποιοι θα πουν, 'Αυτό είναι υπέροχο, θα έχουμε LLMs να σαρώνουν όλο το λογισμικό μας και να βρίσκουν σφάλματα μαζικά και να τα επιδιορθώνουν πριν οι κακοί μπορέσουν να τα εκμεταλλευτούν'», σημείωσε ο Joyce. «Λοιπόν, το πρόβλημα με αυτή τη θεωρία είναι ότι είμαστε χάλια στην επιδιόρθωση (patching)».
Ο πυρήνας του επιχειρήματος του Joyce είναι η τεράστια διαφορά μεταξύ της ταχύτητας ανακάλυψης από την AI και της ανθρώπινης ικανότητας για αποκατάσταση. Τόνισε ότι πολλοί οργανισμοί διαχειρίζονται ποικίλα τεχνολογικά περιουσιακά στοιχεία, συμπεριλαμβανομένου λογισμικού παλαιού τύπου ή χωρίς υποστήριξη, για το οποίο λείπει το απαραίτητο προσωπικό για την έγκαιρη εφαρμογή ενημερώσεων. Αυτό δημιουργεί ένα επικίνδυνο κενό. Ενώ η AI μπορεί να εντοπίσει έναν καταιγισμό ευπαθειών, αυτές οι προειδοποιήσεις απλώς προστίθενται σε μια ήδη μεγάλη λίστα εκκρεμοτήτων για τις ομάδες ασφαλείας που έχουν ήδη υπερβολικό φόρτο εργασίας. Ο Joyce προειδοποίησε ότι το λογισμικό που δεν υποστηρίζεται ή συντηρείται πλημμελώς θα γίνει όλο και περισσότερο η μεγαλύτερη πηγή κινδύνου σε έναν κόσμο όπου η AI μπορεί να εντοπίσει ευπάθειες ταχύτερα από ό,τι οι άνθρωποι μπορούν να τις βρουν ή να τις διορθώσουν.
Αυτή η ασυμμετρία δίνει ένα σαφές πλεονέκτημα στους επιτιθέμενους. Η επιθετική AI μπορεί να αυτοματοποιήσει πολύπλοκες στρατηγικές επίθεσης, επιτρέποντας στους επιτιθέμενους να εκτελούν εκστρατείες σε πρωτοφανή κλίμακα. Ο Joyce το απεικόνισε αυτό με την περίπτωση του XBOW, ενός πράκτορα AI που έγινε ο πρώτος μη ανθρώπινος αναφορέας ευπαθειών στον πίνακα κατάταξης του HackerOne. «Κυνηγά αυτά τα δίκτυα, και κουνάει κάθε πόμολο, παντού, συνεχώς», είπε ο Joyce, «και βρίσκει περισσότερες ευπάθειες και ελαττώματα από οποιονδήποτε άνθρωπο που πρέπει να κοιμηθεί, να φάει και να περάσει χρόνο με τους αγαπημένους του». Ενώ η αμυντική AI βοηθά τους οργανισμούς να προβλέπουν επιθέσεις και να αυτοματοποιούν τις απαντήσεις, η προειδοποίηση του Joyce υποδηλώνει ότι η ισορροπία μπορεί να γέρνει υπέρ των επιτιθέμενων.
Πέρα από την ανακάλυψη ευπαθειών, ο Joyce επεσήμανε έναν άλλο αναδυόμενο κίνδυνο: την πειρατεία πρακτόρων AI. Προειδοποίησε ότι οι χάκερ μπορούν να αποκτήσουν πρόσβαση στα εσωτερικά συστήματα μιας εταιρείας και στη συνέχεια να χρησιμοποιήσουν τους πράκτορες AI της για να αναζητήσουν τα πιο χρήσιμα δεδομένα για μια επίθεση ransomware ή εκβιασμού. Αυτό μετατρέπει ένα εργαλείο που προορίζεται για παραγωγικότητα σε έναν εσωτερικό κατάσκοπο. Η ταχεία ενσωμάτωση της AI σε βασικές επιχειρηματικές προσφορές λογισμικού από μεγάλες εταιρείες τεχνολογίας δημιουργεί αυτές τις νέες ευπάθειες. Επιπλέον, η ίδια η AI μπορεί να εισαγάγει ελαττώματα, καθώς ο κώδικας που παράγεται από AI μπορεί ακούσια να εισαγάγει ευπάθειες εάν τα μοντέλα εκπαιδεύονται σε σύνολα δεδομένων που περιέχουν ανασφαλή δείγματα.
Η προοπτική του Joyce είναι ζοφερή, υποδηλώνοντας ότι μπορεί να χρειαστεί μια κρίση για να αναγκάσει μια ουσιαστική αλλαγή στις πρακτικές κυβερνοασφάλειας. «Μπορεί να δούμε το ισοδύναμο μιας πυρκαγιάς στη Δυτική Ακτή που πρέπει να κάψει τα πάντα ολοσχερώς για να μπορέσουμε να χτίσουμε πιο δυνατά και καλύτερα», προειδοποίησε ο Joyce. Αυτή η αναλογία υπογραμμίζει το μέγεθος του προβλήματος: η σταδιακή βελτίωση μπορεί να μην είναι αρκετή. Ενώ η AI έχει ιστορικά βοηθήσει τους αμυνόμενους να κλιμακώσουν τις δραστηριότητές τους, οι υπεύθυνοι χάραξης πολιτικής δεν πρέπει να υποθέτουν ότι αυτή η δυναμική θα διατηρηθεί επ' αόριστον. Η προειδοποίηση του Joyce χρησιμεύει ως μια έντονη υπενθύμιση ότι η τεχνολογία από μόνη της δεν είναι πανάκεια και ότι χωρίς μια παράλληλη εξέλιξη στην οργανωτική πειθαρχία και τη στρατηγική, τα ισχυρά εργαλεία μπορούν να δημιουργήσουν εξίσου ισχυρά προβλήματα.