ทีมนักวิจัยจากมหาวิทยาลัยเคมบริดจ์สร้าง AI worm ที่ปรับตัวได้ทั่วทั้งเครือข่าย

ทีมนักวิจัยจากมหาวิทยาลัยโตรอนโตและสถาบันอื่น ๆ ประสบความสำเร็จในการพิสูจน์แนวคิดของ AI worm แบบอัตโนมัติที่ใช้โมเดลภาษาแบบโอเพนเวตขนาดเล็ก (LLM) แทนรายการช่องโหว่แบบตายตัว เพื่อวิเคราะห์เป้าหมาย วางกลยุทธ์การโจมตี และแพร่กระจายไปในเครือข่ายองค์กรได้ด้วยตัวเอง

แปลฉบับเต็ม

ทีมนักวิจัยจากมหาวิทยาลัยโตรอนโต สถาบัน Vector และมหาวิทยาลัยเคมบริดจ์ ได้พัฒนาและทดสอบโมเดลพิสูจน์แนวคิด (PoC) ของ worm อัตโนมัติที่ขับเคลื่อนด้วย AI ซึ่งทำงานได้โดยไม่ต้องพึ่งพารายการ exploit (การโจมตีช่องโหว่) แบบตายตัว worm ตัวนี้สามารถวิเคราะห์แต่ละเป้าหมายที่พบได้ด้วยตัวเอง ใช้การอนุมานเพื่อหาวิธีโจมตี และวางกลยุทธ์ได้แบบหน้างาน ทั้งหมดนี้อาศัยความช่วยเหลือจากโมเดลภาษาแบบโอเพนเวตขนาดเล็กที่เปิดให้ใช้ฟรีและรันอยู่บนอุปกรณ์ที่มันติดเชื้อไปแล้วโดยตรง

worm ที่อิงกับโมเดลโอเพนเวตซึ่งโฮสต์อยู่บนฮาร์ดแวร์ที่ติดเชื้อ

นักวิจัยอธิบายว่า "ต้นแบบของเรามุ่งเป้าไปที่ช่องโหว่ที่เปิดเผยต่อสาธารณะแล้วแต่ยังไม่ได้แพตช์ การตั้งค่าที่ผิดพลาด และคลาสช่องโหว่ที่เกิดซ้ำ ซึ่งทั้งหมดนี้เป็นสิ่งที่การโจมตีไซเบอร์ในโลกจริงส่วนใหญ่พึ่งพา" และเสริมว่า "worm นี้ไม่จำเป็นต้องมีความสามารถในการค้นพบช่องโหว่ zero-day ใหม่ ๆ ขอเพียงมีโมเดล AI ที่ฉลาดพอจะนำช่องโหว่เดิมที่เป็นที่รู้จักมาใช้โจมตีจริงโดยปรับให้เข้ากับการตั้งค่าของเป้าหมายที่หลากหลายได้"

ในสภาพแวดล้อมเครือข่ายทดสอบแบบแยกขาดที่ประกอบด้วยโฮสต์ 33 เครื่อง ซึ่งมีทั้งเซิร์ฟเวอร์ Linux อุปกรณ์ Windows และอุปกรณ์ IoT ที่มีช่องโหว่ที่รู้จักอยู่แล้ว การตั้งค่าผิดพลาด และจุดอ่อนที่พบบ่อย นักวิจัยได้ทำการทดลองอิสระ 15 ครั้ง โดยแต่ละครั้งรันเป็นเวลา 7 วัน

ผลการทดลองพบว่า worm นี้สามารถระบุช่องโหว่ได้อย่างถูกต้องเฉลี่ย 31.3 รายการ {b:31.3}, โจมตีและยกระดับสิทธิ์บนโฮสต์ได้ 23.1 เครื่อง {b:23.1}, และแพร่กระจายต่อไปยังโฮสต์ได้สำเร็จ 20.4 เครื่อง {b:20.4} (จากทั้งหมด 33 โฮสต์ คิดเป็นอัตราการติดเชื้อและการแพร่กระจายราว 62% {p:62})

worm นี้ยังแสดงให้เห็นถึงความสามารถในการโจมตีช่องโหว่ที่ถูกเปิดเผยหลังช่วงเวลาข้อมูลฝึกของโมเดลฐาน (cutoff) เช่น Copy Fail, Dirty Frag และ Marimo RCE โดยอ่านคำแนะนำด้านความปลอดภัยสาธารณะระหว่างรันไทม์ ทำความเข้าใจข้อมูล และสร้าง exploit ที่ใช้งานได้จริงขึ้นมา

ยิ่งไปกว่านั้น เมื่อเกิดความล้มเหลวที่ไม่คาดคิด มันยังใช้ความสามารถด้านการอนุมานทั่วไปเพื่อวินิจฉัยปัญหาและหาทางแก้ได้ ตัวอย่างเช่น มันตรวจพบรายการบล็อก IP ที่ hardcode อยู่ในซอร์สโค้ดของตัวเองและแก้ไขได้เองโดยไม่มีคำสั่งใด ๆ ในอีกกรณีหนึ่ง เมื่อสำเนาของมันล่มบนโฮสต์ Alpine Linux และ Windows Server 2008 เพราะบั๊กในเช็กการตรวจจับเครื่องเสมือน (VM) worm ต้นทางก็สามารถค้นหาไฟล์ซอร์สสำหรับยืนยันตัวตนบนเครื่องเป้าหมาย ลบลอจิกการตรวจสอบที่เป็นปัญหาออก แล้วลองใหม่จนสำเร็จ

ต้นแบบ worm ที่ไม่พึ่งพาแพลตฟอร์ม AI เชิงพาณิชย์

สิ่งที่น่ากังวลเป็นพิเศษเกี่ยวกับต้นแบบนี้คือวิธีที่มันรักษาการทำงานของตัวเองไว้ worm จะ hijack อุปกรณ์ที่ติดเชื้อซึ่งมี GPU เพื่อนำทรัพยากรประมวลผลที่ขโมยมาไปรันโมเดลภาษาแบบโลคัล ส่วนอุปกรณ์สเปกต่ำอย่างเซ็นเซอร์ IoT ที่ไม่สามารถโฮสต์โมเดลได้เอง จะส่งต่อคำขอ inference ไปยังโหนด GPU ที่ติดเชื้อและอยู่ต้นน้ำในเครือข่ายเพื่อให้ประมวลผลแทน

ดังนั้น มาตรการควบคุมที่แพลตฟอร์ม AI เชิงพาณิชย์สร้างไว้จึงไม่สามารถหยุดภัยคุกคามรูปแบบใหม่นี้ได้ และยังแสดงให้เห็นว่า guardrail ด้านความปลอดภัยของโมเดลโอเพนเวตสามารถถูกหลบเลี่ยงได้ง่าย เมื่อผู้โจมตีควบคุมสภาพแวดล้อมการรันแบบโลคัลได้อย่างสมบูรณ์

นักวิจัยระบุว่า "โมเดลพิสูจน์แนวคิดที่เราประเมินสืบทอดข้อจำกัดด้านความสามารถของโมเดลฐานมาโดยตรง อัตราความสำเร็จของความพยายาม exploit แต่ละครั้งอยู่ที่ 44% {p:44} และสาเหตุส่วนใหญ่ของความล้มเหลวไม่ได้มาจากกลยุทธ์การโจมตีที่ผิด แต่เกิดจากรูปแบบเพย์โหลดที่มีข้อบกพร่อง" พร้อมอธิบายต่อว่า "worm มีปัญหาเป็นพิเศษกับโครงสร้างของเว็บแอปพลิเคชัน สภาพแวดล้อมคำสั่งของ Windows และการจัดการไวยากรณ์ของเพย์โหลดที่ต้องการการปรับแต่งสตริงอย่างแม่นยำ สิ่งนี้สะท้อนข้อจำกัดด้านการสร้างโค้ดของโมเดลรุ่นปัจจุบันที่ใช้ GPU เดี่ยวเท่านั้น ไม่ใช่ข้อจำกัดพื้นฐานของแนวทางนี้เอง และจะถูกเอาชนะได้เมื่อความสามารถด้านการสร้างโค้ดและการสร้างเอาต์พุตแบบมีโครงสร้างของโมเดลภาษาในอนาคตดีขึ้น แม้ว่าความพยายามรายครั้งจะเปราะบาง แต่สถาปัตยกรรมแบบ swarm ของ worm ก็ชดเชยจุดนี้ได้ด้วยเส้นทางการอนุมานแบบขนานและเป็นอิสระ จนสามารถบรรลุผลตามที่รายงาน"

แนวทางป้องกันที่ดีที่สุดต่อ worm ที่ขับเคลื่อนด้วย AI ในปัจจุบัน

นักวิจัยยอมรับอย่างตรงไปตรงมาถึงลักษณะการใช้งานสองด้าน (dual-use คือใช้ได้ทั้งทางที่เป็นประโยชน์และทางที่เป็นอันตราย) ของงานวิจัยนี้ และได้ตัดรายละเอียดการปฏิบัติการที่เฉพาะเจาะจงออกจากงานวิจัยสาธารณะ รวมถึงสถาปัตยกรรมการอนุมานของเอเจนต์ ชุดเครื่องมือทั้งหมด และชื่อของ LLM ที่ใช้ ก่อนตีพิมพ์ พวกเขาได้แบ่งปันสิ่งที่ค้นพบกับหน่วยงานด้านวิทยาศาสตร์ ความมั่นคง และกลาโหมหลายแห่งในแคนาดา และได้รับการช่วยตรวจทานเพื่อให้แน่ใจว่าเอกสารจะไม่มีข้อมูลที่เป็นประโยชน์ต่อผู้โจมตี (นักวิจัยด้านความปลอดภัยสามารถขอสิทธิ์เข้าถึงต้นแบบได้จากมหาวิทยาลัยโตรอนโต)

นอกจากนี้ เนื่องจากความสามารถในการจำลองตัวเองที่ล้ำหน้า นักวิจัยจึงระมัดระวังเป็นพิเศษในการกักกันมันไว้อย่างเข้มงวดภายในห้องทดลอง เพื่อป้องกันไม่ให้ worm หลุดออกไปภายนอก

นักวิจัยชี้ว่า "งานวิจัยนี้ให้หลักฐานเชิงประจักษ์ว่าการโจมตีไซเบอร์แบบอัตโนมัติได้ก้าวจากความเสี่ยงในเชิงทฤษฎีไปสู่ความสามารถที่มีอยู่จริงและพิสูจน์ได้แล้ว ซึ่งเป็นความท้าทายครอบคลุมทั้งงานวิจัย AI ความมั่นคงปลอดภัยไซเบอร์ และนโยบายสาธารณะ" พร้อมเน้นว่า "งานวิจัยนี้เผยให้เห็นภัยคุกคามไซเบอร์รูปแบบใหม่ที่โลกยังไม่พร้อมรับมือ นักวิจัย ภาคอุตสาหกรรม ผู้กำหนดนโยบาย และสาธารณชนต้องเร่งร่วมมือกันอย่างเร่งด่วนเพื่อจัดการกับภัยคุกคามใหม่นี้"

ในด้านการป้องกัน งานวิจัยนี้เสนอ 2 ลำดับความสำคัญ:

• ใช้เครื่องมือทดสอบเจาะระบบจำลองและ fuzzing แบบอัตโนมัติที่มี AI ช่วย: องค์กรควรค้นหาและแพตช์จุดอ่อนที่อาจถูกนำไปใช้โจมตีได้ในโครงสร้างพื้นฐานของตนเอง ก่อนที่ฝ่ายตรงข้ามจะเป็นผู้ค้นพบ
• การแบ่งส่วนเครือข่ายอย่างเข้มงวด: การแบ่งส่วนเครือข่ายอย่างเหมาะสมสามารถยับยั้งการแพร่กระจายของ worm ได้อย่างมีนัยสำคัญ หลักการ 'zero-trust' ที่ไม่เชื่อถือสิ่งใดภายในขอบเขตเครือข่ายและบังคับให้มีการยืนยันตัวตนอย่างต่อเนื่องสำหรับทุกคำขอเข้าถึง รวมถึง 'micro-segmentation' ที่จำกัดขอบเขตความเสียหายเมื่อการเจาะระบบสำเร็จ เป็นสิ่งจำเป็น

นักวิจัยเตือนว่าแม้ signature พฤติกรรมของต้นแบบ worm นี้จะยังสามารถตรวจจับได้ด้วยระบบมอนิเตอร์เครือข่ายและระบบตรวจจับการบุกรุก (IDS) ในปัจจุบัน แต่ worm ในอนาคตที่ผู้ไม่หวังดีสร้างขึ้นอาจมีความสามารถในการหลบเลี่ยงการตรวจจับเหล่านี้ได้ดีกว่ามาก