CertiK’i tegevdirektor hoiatab kunstliku intelligentsiaga töötavate agentide turvariskidest, kuna nende kasutuselevõtt toimub kiiremini kui isoleerimine

Hoiatus AI-agentide turvariskide kohta muutub teravamaks — ja kiiremaks. CertiK-i kaasasutaja ja tegevjuht Ronghui Gu ütleb, et autonoomsete AI-agentide kiire levitamine rakendustesse, võrkudesse ja finantsüsteemidesse toimub kiiremini kui põhilised turvameetmed, mille abil neid kontrollida saab.

Sellest on tähtsust see, et need süsteemid ei piirdu enam ainult vestlusakena sisestatud küsimuste vastamisega. Gu ütleb, et neile antakse järjest rohkem õigusi lugeda kohalikke faile, kasutada väliste tööriistade funktsioone, käivitada töövooge ja suhelda tundlikkate kontodega. Praktikas tähendab see, et kompromitteeritud agent pole lihtsalt vigane assistent. See võib muutuda sisemiseks ohtuks, kellel on ligipääs tunnustele, e-postile ja isegi finantsinfrastruktuurile.

Gu sõnum on selge: ära paigalda neid massiliselt sellisel viisil. Ta väidab, et AI-agentidele tuleb enne tundlike andmete või kriitiliste süsteemide juurdepääsu andmist skannida viirused ja eraldada nad teistest süsteemidest. Ilma selle eralduseta hoiatab ta, et kasutajad ja ettevõtted võivad anda laiaululiselt sisemist ligipääsu tarkvarale, mida saab manipuleerida palju lihtsamini, kui paljud eeldavad.

Miks ütleb CertiK, et AI-agentide turvariskid kasvavad kiiresti

CertiK-i seisukoht on, et praegune agentide levitamise laine loob tõsise turvaprobleemi. Gu kirjeldab seda kiirust, mis teeb suurt turvavõlga, põhjustatud automaatika entusiasmist, samas kui põhiturvakaitse jätab end veel taga.

Selle hoiatuse keskmes on usaldus. Paljude avatud lähtekoodiga AI-tööriistade puhul, väidab Gu, peetakse neid ohutuks seetõttu, et nad töötavad kohalikult või ühenduvad tuttavate kanalite kaudu, sealhulgas standardsetes vestlusrakendustes nagu WhatsApp. Siiski ei tee kohalik ligipääs agenti usaldusväärseks. Kui kasutaja lubab agentidel inspekteerida salvestust, vaadata käivitusajalugu või kasutada isiklikke ja äriühendusi, saab tarkvara ulatuda süsteemi kõige tundlikumatesse piirkondadesse.

Sellepärast pööratakse AI-agentide turvariskidele tähelepanu nüüd juba ka väljaspool tavapäraseid küberturvaasjusid. See ei ole lihtsalt vanas mõttes mürgitarkvara küsimus. See on küsimus autonoomsete süsteemide kohta, kellele on antud luba tegutseda, andmeid hankida ja töövoogus liikuda enne kui neid on korralikult kontrollitud või piiratud.

Kuidas mitteeraldatud AI-agentide võib üle võtta

CertiK-i hoiatus keskendub eriti sellele, kui lihtsalt neid süsteeme saab suunata. Gu ütleb, et mitteeraldatud agentidel võib avalikuks saada kohalikud failid, tunnused, e-postikontod ja finantskontod. Kui agentil on selline ligipääs, siis kompromitteerimise põhjustatud kahju ei ole enam teoreetiline. Manipuleeritud bot võib andmeid välja tuua või käivitada volitamata rahalisi ülekandeid.

Prompt-injektsioonirünnakud tavaliste failide kaudu

Üks selgemaid ohte on prompt-injektsioonirünnakud. Gu kohaselt saab varjatud juhiseid sisestada näiliselt ohutusse sisusse, sealhulgas veebilehele, PDF-dokumenti või sissetulevasse e-kirja.

Kui AI-agent loeb seda sisu ülesande täitmiseks, võib ta ebaõnnestuda eristada usaldusväärseid juhiseid usaldusväärsete välisjuhiste eest. Sel hetkel saab agenti käitumist vaikimisi suunata. Ekraanil ei ilmu silmatorkavat mürgitarkvara-prompti. Ei ilmu ka dramatilist hoiatust. Selle asemel hakkab süsteem järgima rünnaku algataja juhiseid mitte originaalreegleid.

Sellepärast on see probleem nüüd nii oluline. Paljude kasutajate jaoks ei tundu näiliselt ohutu dokument ega e-kiri süsteemitasemel ohtuna. Kuid autonoomsete tööriistadega saavad need tavalised failid muutuda kanaliks, mille kaudu agenti üle võetakse.

Halbaktsed oskused ja valesti paigaldatud sõltuvused

CertiK ütleb ka, et agentide ümber olev ekosüsteem näitab juba sügavamaid struktuurilisi nõrkusi. Nende analüüs leidis sadu kriitilisi turvateateid ja parandamata ühiseid turvavigu (CVE) agentide struktuurides ning avalikustatud tunnuseid.

Sellele lisaks ütleb Gu, et CertiK avastas avatud agentide abitarkvara hubides halbaktsed oskused, valesti paigaldatud installeerijad ja sarnased sõltuvuspaketid. Need ei ole lihtsalt ebapiisavalt kirjutatud koodivead. Need viitavad keskkonnale, kus rünnaku algatajad saavad sekkuda selle tõttu, kuidas agente ehitatakse, värskendatakse ja laiendatakse.

Selle tõttu on neid ohte keerulisem tuvastada. Gu ütleb, et halbaktsed plug-inid võivad ületada traditsioonilised viiruseskannerid, sest nad mõjutavad agentide käitumist standardse loomuliku keele kaudu, mitte vanema signatuuripõhise musteriga. Lihtsas keeles öeldes võib agenti petta vale asja tegemisele ilma sellest välja paistvast mürgitarkvara-risti.

Miks rõhutab CertiK null-usaldusarhitektuuri

Gu vastus on null-usaldusarhitektuur pideva verifitseerimisega. Asemel, et eeldada, et agent, plug-in või sõltuvus on pärast paigaldamist ohutu, tuleks iga käsku ja sõltuvust pidevalt kontrollida.

See lähenemisviis sobib probleemi skaalaga, mille CertiK oma analüüsis näeb. Firma analüüs leidis:

• sadu kriitilisi turvateateid
• parandamata CVE-sid
• avalikustatud tunnuseid agentide struktuurides
• rünnakute teed, mis hõlmavad kohalikke faile, e-posti ja finantsinfrastruktuuri

Siin ilmneb ka laiem tähendus. AI-agentide turvariskid ei puudu ainult ühest halvast rakendusest või ühest kompromitteeritud kasutajast. Need viitavad mudelile, kus autonoomia laieneb enne, kui eraldus, skannimine ja verifitseerimine muutuvad tavapäraseks praktikaks. Kui need tööriistad on mõeldud raha, äritegevuse töövoogude või privaatsete andmete töötlemiseks, siis ei saa usaldust pidada vaikimisi seadistuseks.

On ka krüptoraha-aspekt, mis aitab selgitada, miks CertiK hoiatab just nüüd. Gu ütleb, et firma on jälginud kiireid, ajutisi blockchaini põhiseid pettusi, mille eesmärk on sihitud AI kauplemisbotte ja autonoomseid agentisüsteeme. Need pettused võivad kesta vaid 10 minutit või mõni tund enne kadumist.

See detail on tähtis. Masinapõhised süsteemid saavad tegeleda kiirusega, millega inimestel pole aega inimlikku ülevaadet teha, ja rünnaku algatajad näib olevat sellele reageerinud. Tegelikult muutuvad automaatsete agentidega süsteemid pettuste sihtmärkideks. Tulemuseks on uus masin-masinile suunatud rünnakute tsükkel, eriti blockchaini tegevuse ja automaatsete rahaliste liikumiste seotud keskkonnas.

Miks eristub CertiK-i hoiatus just nüüd

CertiK-i hoiatus saabub hetkel, mil AI-agentidele reklaamitakse tootlikkustõstmise tööriistadena ja digitaalsete assistentidena. Siiski väidab Gu, et võimalused arenevad kiiremini kui nende piiramise võimalused. Mida rohkem neid süsteeme lubatakse puudutada faile, tunnuseid ja raha, seda vähem ruumi on juhuslikuks turvaoletuseks.

Tema soovitus on lihtne: skanna agendid viiruste järgi, eralda nad enne ligipääsu andmist ja lõpeta autonoomia vaatamist vaikimisi ohutuks.

Kui seda soovitust ignoreerida, siis järgmine rünnakute laine ei pruugi esmalt inimesi petta. See võib minna otse agentide poole, kes tegutsevad nende nimel.