أوقفت مجموعة استخبارات التهديدات من جوجل (GTIG) استغلال ثغرة يوم صفر مصمم لتجاوز المصادقة الثنائية في أداة إدارية مفتوحة المصدر. اكتشف الباحثون أن جهات إجرامية إلكترونية كانت تخطط لهجوم واسع النطاق، وتضمنت الأدلة على مشاركة الذكاء الاصطناعي درجة CVSS مختلقة وتنسيق نصي منظم للغاية.
الاستغلال وبصمات نموذج لغوي 🧠
حدد محللو GTIG أن الكود الخبيث استغل ثغرة أمنية غير معروفة لتجاوز التحقق بخطوتين. ما لفت الانتباه هو وجود درجة CVSS مختلقة، وهو خطأ نموذجي عندما يولد نموذج لغوي بيانات دون التحقق منها. بالإضافة إلى ذلك، أظهر تنسيق التقرير الفني المرتبط بالاستغلال بنية وصياغة مشابهة جدًا لمخرجات مساعدي الذكاء الاصطناعي، مما دفع الباحثين إلى استنتاج أن الذكاء الاصطناعي شارك في تطويره.
حتى ChatGPT لم ينجح في اختبار الأمان 🤖
يبدو أن المجرمين الإلكترونيين طلبوا المساعدة من الذكاء الاصطناعي لإنشاء استغلالهم، لكن المساعد أعاد لهم تقريرًا بدرجة مخاطر مختلقة. باختصار، قام الذكاء الاصطناعي بالعمل نيابة عنهم، لكنه اختلق الواجبات. لحسن الحظ أن جوجل اكتشفت الأمر، وإلا لكانت الأداة مفتوحة المصدر بحاجة إلى أكثر من مجرد CAPTCHA بسيط للحماية من هذه الفوضى الرقمية.