Olet varmaan saanut huomata joka tuutista, miten tekoäly (AI) on vienyt meidät digiajassa valovuoden eteenpäin. Siinä on kuitenkin yksi pieni riesa – turvallisuus ja vinoutuneet tulokset. Nyt University of Illinois Urbana-Champaign (UIUC:n) tutkijat ovat osoittaneet, miten suuria kielimalleja (LLM) hyödyntäen voidaan tehdä vakavia tietomurtoja verkkosivustoille ilman ihmisen ohjausta. He julkaisivat tutkimuksensa nimellä "LLM Agents can Autonomously Hack Websites", josta The Register kirjoitti varsin napakan artikkelin "How to weaponize LLMs to auto-hijack websites." ja tässä vähän meidän näkemystä aiheesta.

AI laittaa parastaan ja aiheuttaa päänvaivaa

UIUC:n tutkijat osoittivat, että LLM-agentit voivat hakkeroida verkkosivustoja itsenäisesti suorittaen monimutkaisia tehtäviä ilman ennakkotietoa haavoittuvuudesta. Tutkijat käyttivät OpenAI Assistants API, LangChainia sekä Playwright-selaintestauskehystä. He testasivat yhteensä 10 eri LLM-mallia, sisältäen Open Source että OpenAi:n tuotteita. Tulos? GPT-4 näytti kaapin paikan, loistamalla erilaisissa verkkosivujen hyökkäystesteissä. 

Mitä tästä pitäisi ajatella?

Pros: LLM-agentteja voidaan tulevaisuudessa hyödyntää verkkosivujen tietoturva-aukkojen etsimisessä erittäin (kustannus)tehokkaalla tavalla.

Cons: LLM-agentit voidaan kouluttaa hyökkäämään ennalta tunnistettuja tietoturva-aukkoja vastaan entistä monipuolisemmin, ja täysin autonomisesti ja muuttamalla hyökkäysstrategiaansa lennosta.

Kuinka varautua? 

En ole tietoturva-guru, eikä sinunkaan tarvitse olla. Seuraa tietoturvauutisia, päivitä verkkosivustosi turvallisemmaksi ja pidä silmällä haavoittuvuuksia. Tietoturva-auditointi säännöllisin väliajoin sivustollesi pitäisi olla mukana prosesseissa ja niistä täytyy pitää kiinni. Kouluta tiimisi tunnistamaan mahdolliset riskit ja käytä tekoälymalleja vastuullisesti.

Jatketaan tekoälyn voimalla, mutta pidetään homma hallinnassa 

Vaikka tekoäly vie meitä kohti tulevaisuutta, vastuullinen tutkimus ja turvatoimet ovat pakollisia. Tutkimus toimii varoitusmerkkinä tekoäly-yhteisölle – pitääkö tätä kehitystä valvoa paremmin? Loppujen lopuksi haluamme nauttia tekoälyn eduista pelkäämisen sijaan. Yritysten ja tietohallinnon on nyt aika ottaa ohjakset käsiin, vahvistaa ohjelmointikäytäntöjään ja valmistaa tiiminsä siihen, että virtuaalimaailman hyökkääjät voivat olla ovelia – mutta olla itse ovelampia.

Blogin kirjoittaja on Jukka-Pekka Maskonen, Calia IT-rekrytointiyrityksen perustaja