Dirbtinio intelekto sprendimai vis sparčiau įsitvirtina įvairiose gyvenimo srityse, tačiau kartu daugėja ir atvejų, kai jie pasitelkiami kenkėjiškiems tikslams. Naujausios istorijos apie dirbtinio intelekto „aukso amžių“ rodo, kad galingi pokalbių robotai gali tapti rimtu kibernetinio saugumo iššūkiu net ir valstybinėms institucijoms.
Skelbiama, kad programišius pasinaudojo „Anthropic“ sukurto pokalbių roboto „Claude“ galimybėmis ir surengė kibernetines atakas prieš Meksikos vyriausybines įstaigas. Kibernetinio saugumo bendrovės „Gambit Security“ ataskaitoje teigiama, jog per šias atakas buvo pavogta apie 150 GB oficialių valstybinių duomenų, įskaitant mokesčių mokėtojų įrašus, valstybės tarnautojų prisijungimo duomenis ir kitą jautrią informaciją.
Pasak „Gambit Security“, įsilaužėlis naudojo „Claude“ ieškodamas pažeidžiamumų vyriausybiniuose tinkluose ir kurdamas kenkėjiškus scenarijus, skirtus šioms spragoms išnaudoti. Be to, pokalbių robotui buvo pavesta sugalvoti būdus, kaip automatizuoti duomenų vagystę ir palengvinti tolesnį įsibrovimą. Teigiama, kad ši veikla prasidėjo gruodį ir tęsėsi maždaug mėnesį.
Manoma, kad programišiui pavyko pasitelkiant vadinamąją „promptų“ techniką apeiti „Claude“ apsaugos ribojimus ir iš esmės priversti sistemą teikti kenkėjiškai veiklai naudingus atsakymus. Iš pradžių įrankis atsisakė vykdyti neleistinas užduotis, tačiau vėliau esą pradėjo pateikti išsamią informaciją.
„Iš viso pokalbių robotas sukūrė tūkstančius detalių ataskaitų su parengtais vykdymui veiksmų planais, kurios aiškiai nurodė žmogiškajam operatoriui, kokius vidinius taikinius atakuoti toliau ir kokius prisijungimo duomenis naudoti“, – teigė „Gambit Security“ vyriausiasis strategas Curtis Simpsonas.
„Anthropic“ patvirtino atlikusi vidinį tyrimą, nutraukusi šią kenkėjišką veiklą ir užblokavusi visų susijusių paskyrų prieigą. Bendrovės atstovų teigimu, naujausias modelis „Claude Opus 4.6“ turi papildomų priemonių, padedančių aptikti ir sutrikdyti panašaus pobūdžio piktnaudžiavimą.
Taip pat pranešama, kad tas pats programišius iš dalies rėmėsi ir „OpenAI“ sukurtu pokalbių robotu „ChatGPT“. Jis esą buvo naudojamas renkant informaciją apie judėjimą kompiuteriniuose tinkluose, įvairioms sistemoms pasiekti reikalingus prisijungimo duomenis bei būdus, kaip išvengti aptikimo. „OpenAI“ teigimu, buvo užfiksuoti bandymai pažeisti naudojimo taisykles, tačiau įrankiai atsisakė bendradarbiauti su akivaizdžiai kenkėjiškomis užklausomis.
Programišiaus tapatybė kol kas nenustatyta. Atakos oficialiai nėra susietos su konkrečia įsilaužėlių grupe, tačiau „Gambit Security“ neatmeta galimybės, kad už jų gali slypėti užsienio valstybės interesai. Šiuo metu taip pat neaišku, kam tiksliai bus panaudoti pavogti duomenys.
Meksikos nacionalinė skaitmeninė agentūra incidento plačiau nekomentuoja, tačiau pabrėžia, kad kibernetinis saugumas yra vienas iš šalies prioritetų. Chalisco valstijos valdžia tvirtina, jog jos tinklai nebuvo pažeisti, o incidentas esą palietė tik federalines sistemas. Savo ruožtu Meksikos nacionalinis rinkimų institutas taip pat neigia bet kokius saugumo pažeidimus ar neteisėtą prieigą pastaraisiais mėnesiais.
Vis dėlto „Gambit Security“ tyrėjai teigia šalyje aptikę bent 20 rimtų saugumo spragų, kurių, tikėtina, Meksikos valdžia nėra linkusi viešai akcentuoti.
Tai ne pirmas kartas, kai „Claude“ siejamas su rimtomis kibernetinėmis atakomis. Praėjusiais metais, kaip skelbiama, įsilaužėliai Kinijoje manipuliavo šiuo įrankiu, siekdami infiltruoti dešimtis tarptautinių taikinių, o dalis atakų buvo sėkmingos.
Papildomų diskusijų sukėlė ir tai, kad „Anthropic“ atsisakė ilgą laiką galiojusio saugumo įsipareigojimo: bendrovė buvo pasižadėjusi neapmokyti naujų DI sistemų, jei iš anksto negalėtų užtikrinti pakankamo saugumo lygio. Atsižvelgiant į tai, lieka atviras klausimas, kokių dar, galbūt dar sudėtingesnių, iššūkių ateityje gali atnešti vis galingesni įrankiai ir kiek jiems pasirengusi tiek valstybinė, tiek privati infrastruktūra.
