Друкарня від WE.UA

Автономні ШІ-червʼяки: нова ера адаптивних кібератак

Дослідники з Університету Торонто та інституту Vector продемонстрували компʼютерного червʼяка, який самостійно аналізує мережу та підбирає окремий спосіб атаки для кожної машини, на яку потрапляє, — без жодної участі людини.

У багатьох публікаціях це назвали проривом, що демонструє здатність ШІ-червʼяка атакувати будь-який пристрій, підключений до інтернету. Однак для тих, хто стежить за діяльністю кіберзлочинного підпілля, поява такої можливості давно була передбачуваною.

Насправді це дослідження остаточно закриває питання, чи можливо створити подібний інструмент на практиці. Водночас воно знову порушує три проблеми, з якими більшість команд із кібербезпеки воліли б не стикатися безпосередньо.

Перша з цих проблем — вартість, і саме вона має найбільше значення. Раніше створення атак, націлених на конкретні системи, було повільним і дорогим процесом, що вимагав участі висококваліфікованих фахівців.

Саме через високу вартість багато організацій середнього розміру часто залишалися поза увагою зловмисників — вони просто не вартували витрачених інженерних зусиль. Червʼяк, розроблений у Торонто, усуває це обмеження: він запускає модель із відкритими вагами на графічних процесорах (GPU) уже скомпрометованих машин.

Пристрої, яким бракує потужності для локального запуску моделі, передають завдання з аналізу зараженим вузлам в інших частинах мережі. Отже, витрати на обчислення фактично оплачують самі жертви, а кожна захоплена машина розширює інфраструктуру червʼяка.

Коли створення індивідуально адаптованих атак майже нічого не коштує, статус «нецікавої цілі» перестає бути захистом. Значно важливішою стає сама досяжність системи для атаки.

Ускладнення з оновленнями безпеки

Наступна проблема — управління оновленнями безпеки, і тут ситуація складніша. Традиційно, якщо звичайний червʼяк використовував конкретну вразливість, достатньо було встановити відповідне виправлення — і його поширення припинялося. Наприклад, у 2017 році WannaCry поширився більш ніж у 150 країнах через одну-єдину вразливість, укотре підтвердивши, що швидке встановлення патчів обмежує масштаби шкоди.

Однак цей червʼяк не залишає захисникам однієї конкретної вразливості для усунення: він самостійно знаходить різні шляхи проникнення для кожного вузла. В одному з експериментів копії червʼяка неодноразово зазнавали невдачі на старіших системах через помилку в механізмі виявлення. Батьківський процес визначив причину збою, видалив проблемну перевірку та повторив спробу.

Неможливо покладатися на закриття одних «дверей», коли загроза здатна постійно змінювати свій підхід.

Ще тривожніше те, що червʼяк міг просто під час виконання опрацьовувати нові бюлетені безпеки та створювати атаки на вразливості, яких не існувало на момент навчання базової моделі. Це ставить під сумнів припущення, що дата завершення навчання суттєво обмежує наступальні можливості моделі.

Якщо модель може прочитати сьогоднішнє повідомлення про нову вразливість і самостійно зробити висновки щодо її експлуатації, дата навчання втрачає значну частину свого значення.

ШІ-керований черв’як поширюється гетерогенною мережею, паразитично захоплюючи обчислювальні ресурси для автономного аналізу та ухвалення рішень. (а) Черв’як поширюється мережею, що складається із серверів, робочих станцій та пристроїв Інтернету речей (IoT). Червоні стрілки показують поширення між уже скомпрометованими машинами, тоді як сині стрілки відображають запити на виконання аналізу від пристроїв із низькою обчислювальною потужністю до заражених вузлів, обладнаних графічними процесорами (GPU). (б) Черв’як поєднує велику мовну модель (LLM), що працює на одному GPU, з агентною архітектурою, яка забезпечує рекурсивне міркування, керування пам’яттю та використання інструментів для атак на цільові системи.
ШІ-керований черв’як поширюється гетерогенною мережею, паразитично захоплюючи обчислювальні ресурси для автономного аналізу та ухвалення рішень. (а) Черв’як поширюється мережею, що складається із серверів, робочих станцій та пристроїв Інтернету речей (IoT). Червоні стрілки показують поширення між уже скомпрометованими машинами, тоді як сині стрілки відображають запити на виконання аналізу від пристроїв із низькою обчислювальною потужністю до заражених вузлів, обладнаних графічними процесорами (GPU). (б) Черв’як поєднує велику мовну модель (LLM), що працює на одному GPU, з агентною архітектурою, яка забезпечує рекурсивне міркування, керування пам’яттю та використання інструментів для атак на цільові системи.

Працює, але має обмеження

Водночас варто чітко назвати й обмеження цієї технології. Спроби експлуатації були успішними у 44% випадків, причому, за словами дослідників, більшість невдач була повʼязана з некоректно сформованими корисними навантаженнями (payload), а не з хибною логікою моделі.

Система також працювала доволі повільно. Проте у ході пʼятнадцяти експериментів червʼяк отримав підвищені привілеї приблизно на 74% вузлів, реплікувався на близько 62% із них і досяг семи поколінь самовідтворення протягом одного тижня.

Показник успішності 44% для системи, здатної безперервно повторювати спроби, не є непереборною перешкодою. Це лише відправна точка — і вона відображає можливості моделей із відкритими вагами вже сьогодні, а ці можливості досі лише зростають.

Ще один недооцінений аспект полягає в тому, що модель працює всередині середовища, яке повністю контролює зловмисник. Через це чимало захисних механізмів, про які говорять розробники ШІ, — відмови від виконання небезпечних запитів, фільтри чи обмеження швидкості — стають практично неактуальними.

Немає сенсу в обмеженні кількості запитів, якщо обчислення відбуваються на інфраструктурі, що вже належить зловмиснику.

Якщо модель оцінювання ризиків ШІ в організації передбачає, що захисні механізми забезпечить постачальник платформи, цей сценарій повністю обходить такі припущення.

Планувати захист, виходячи з можливостей зловмисника

Що робити в такій ситуації? Відповідь менш драматична, ніж сама загроза: продовжувати встановлювати оновлення безпеки. Проблема в тому, що й раніше це була нескінченна гонитва за досвідченими противниками, а тепер ця гонитва лише пришвидшується.

Ефективніший підхід — планувати захист з урахуванням того, що зловмисник рано чи пізно проникне в систему та почне адаптуватися вже всередині неї. Саме тому сегментація мережі та механізми локалізації інцидентів мають стати пріоритетом порівняно з безперервним пошуком окремих вразливостей.

Якщо точкою входу може стати практично будь-що, ключовим стає питання, наскільки далеко зможе поширитися вторгнення.

Існує також проблема зовнішньої експозиції. Подібний червʼяк, як і людина-оператор, насамперед шукатиме найпростіший шлях проникнення: викрадені облікові дані, забуту інфраструктуру, сервіси з прямим доступом з інтернету або доступи, які вже продаються на кримінальних майданчиках.

Моніторинг зовнішньої експозиції передусім дає змогу виграти час, а не повністю запобігти компрометації. Саме цей час автономний зловмисник і прагне звести до мінімуму.

Червʼяк залишився в лабораторних умовах, а доступ до його коду обмежено колом дослідників, які працюють над захисними технологіями. Це було правильним рішенням. Проте академічне стримування — не те саме, що гарантія безпеки.

Економічні барʼєри, які раніше захищали багато організацій від цілеспрямованих атак, слабшають. Модель «встановили патч і забули» втрачає ефективність. Водночас частина дослідників і практиків припускає, що придатні для реального застосування автономні атаки можуть зʼявитися вже протягом найближчих 12–18 місяців.

Тож головне питання не в тому, чи варто сприймати цю загрозу серйозно, а в тому, коли організації почнуть це робити: зараз — на власних умовах, чи згодом — на умовах зловмисника.

Статті про вітчизняний бізнес та цікавих людей:

Поділись своїми ідеями в новій публікації.
Ми чекаємо саме на твій довгочит!
Cybercalm
Cybercalm@cybercalm

Кібербезпека простою мовою

105Довгочити
2KПерегляди
21Підписники
На Друкарні з 15 листопада 2025

Більше від автора

Це також може зацікавити:

Коментарі (0)

Підтримайте автора першим.
Напишіть коментар!

Це також може зацікавити: