Algumas semanas atrás, vi uma pequena equipe de agentes de inteligência artificial gastar cerca de 10 minutos tentando invadir meu novo site codificado por atmosfera.
Os agentes da IA, desenvolvidos pela Startup Runsybil, trabalharam juntos para investigar locais ruins para identificar fraquezas. Um agente do orquestrador chamado Sybil supervisiona vários agentes especializados, todos com uma combinação de modelos de idiomas personalizados e APIs prontas.
As sondas tradicionais de scanner de vulnerabilidades para certos problemas conhecidos podem funcionar em um nível mais alto para compreender as fraquezas usando intuição artificial. Por exemplo, um usuário convidado tem acesso privilegiado (algo que um scanner regular pode ter perdido e você pode usá -lo para criar um ataque.
Ariel Herbert-Voss, CEO e co-fundador da Runsybil, diz que o modelo de IA cada vez mais competente provavelmente revolucionará a segurança cibernética ofensiva e defensiva. “Definitivamente, argumentaremos que estamos no auge da explosão da tecnologia em termos da capacidade de estar disponível para atores ruins e bons”, disse Herbert Voss. “Nossa missão é construir testes de segurança de ataque de próxima geração para ajudar todos a alcançar”.
O site segmentado da Sybil foi recentemente útil para organizar novos trabalhos de pesquisa de IA usando o código Claude. Um site chamado Arxiv Slurper consiste em servidores de back -end que acessam o ARXIV junto com vários outros recursos. Juntamente com alguns outros recursos, procuraremos o resumo do artigo para palavras como “romance”, “First”, “Surpreendente” e “Surpreendente” e procurar termos técnicos que lhe interessam. mão.
No entanto, a questão principal com esse tipo de site de código atmosférico é que é difícil saber que tipos de vulnerabilidades de segurança foram introduzidas. Então, quando falei com Herbert Voss sobre Civil, decidi perguntar se isso poderia testar meu novo site em busca de fraquezas. Felizmente, apenas porque meu site é muito básico, Sybil não conseguiu encontrar nenhuma vulnerabilidade.
Herbert-Voss diz que a maioria das vulnerabilidades tende a ser o resultado de recursos mais complexos, como formulários, plugins e recursos de criptografia. Vimos que o mesmo agente tentou investigar um site de comércio eletrônico dummy de propriedade de Herbert-Voss com vulnerabilidades conhecidas. Sybil foi investigado para manchas fracas, mapeando aplicações e como elas os acessam, manipulando parâmetros e testando casos de borda e depois investigados para pontos fracos, aumentando as descobertas, as hipóteses e o que faz sentido uma quebra de realidade. Nesse caso, identificamos uma maneira de invadir o site. Ao contrário dos humanos, Herbert Voss diz que Sybil administra esses processos em paralelo, nunca perdendo os detalhes e nunca para. “O resultado é algo que age como um atacante veterano, mas trabalha com precisão e escala da máquina”, diz ele.
“Os pentestes movidos a IA são uma direção promissora que pode ter uma enorme vantagem nos sistemas de defesa”, disse Lujo Bauer, cientista da computação da Universidade Carnegie Mellon (CMU), especializada em IA e segurança de computadores. Bauer recentemente co-autoria de pesquisas com outras pessoas da CMU e de pesquisadores de co-autor da empresa de IA, explorando a promessa de testes de penetração de IA. Os pesquisadores descobriram que os modelos comerciais mais sofisticados não podem realizar ataques de rede, mas desenvolveram sistemas que estabelecem alvos de alto nível, como varreduras de rede e hosts infectados, e agora são capazes de realizar testes de penetração.
