محققان شرکت امنیتی کالیف (Calif) با استفاده از تکنیکهای هوش مصنوعی Mythos شرکت انتروپیک، دو باگ را در سیستم عامل دسکتاپ اپل کشف کردند.
بهبود قابلیتهای کشف باگ توسط مدلهای هوش مصنوعی مانند Mythos انتروپیک، منجر به هشدارهایی درباره «باگمگدون» (Bugmageddon) شده است.
کاخ سفید در حال ارزیابی مجدد استراتژی هوش مصنوعی خود است و یک فرمان اجرایی برای نظارت دولتی بر هوش مصنوعی پیشرفته را در نظر دارد.
محققان امنیتی میگویند راه جدیدی برای دور زدن فناوری امنیتی پیشرفته اپل کشف کردهاند؛ این روشها را آنها هنگام آزمایش نسخه اولیه نرمافزار هوش مصنوعی Mythos شرکت انتروپیک در ماه آوریل کشف کردند.
محققان شرکت کالیف (Calif)، یک شرکت تحقیقات امنیتی مستقر در پالو آلتو، میگویند نرمافزاری که آنها نوشتهاند، دو باگ و چند تکنیک را به هم متصل میکند تا حافظه مک را خراب کرده و سپس به بخشهایی از دستگاه که باید غیرقابل دسترس باشند، دسترسی پیدا کند.
این یک اکسپلویت ارتقاء امتیاز (privilege escalation exploit) است و اگر با حملات دیگر ترکیب شود، میتواند توسط یک هکر برای کنترل کامل رایانه مورد استفاده قرار گیرد.
میخال زالفسکی (Michal Zalewski)، محقق امنیتی که قبلاً در گوگل کار میکرد و تحقیقات کالیف را بررسی کرده اما در آزمایشها شرکت نداشته است، گفت این تکنیک قابل توجه است زیرا اپل تلاش زیادی برای امنسازی MacOS انجام داده است.
اپل که در حال استقرار و آزمایش مدلهای هوش مصنوعی پیشرفته برای آزمایش و رفع آسیبپذیریها است، گزارش کالیف را برای تأیید یافتههای آن بررسی میکند. سخنگوی این شرکت گفت: «امنیت اولویت اصلی ما است و گزارشهای مربوط به آسیبپذیریهای احتمالی را بسیار جدی میگیریم.»
قابلیتهای کشف باگ در آخرین مدلهای هوش مصنوعی شرکتهایی مانند انتروپیک (Anthropic) و اوپنایآی (OpenAI) در ماههای اخیر به حدی بهبود یافته است که بسیاری از کارشناسان امنیت سایبری اکنون در مورد «باگمگدون» (Bugmageddon) هشدار میدهند؛ موجی بیسابقه از کشف آسیبپذیریهای امنیتی که میتواند برای کارکنان فناوری که باید آنها را وصله کنند، دردسرساز شود و همچنین یک خطر بیسابقه در امنیت سایبری محسوب شود.
سپتامبر گذشته، اپل اعلام کرد که تخصص خود در سختافزار و سیستم عامل را در فناوری به نام «اجرای یکپارچگی حافظه» (Memory Integrity Enforcement - MIE) به کار گرفته است که آن را «اوج یک تلاش بیسابقه طراحی و مهندسی، که نیم دهه به طول انجامید» توصیف کرد.
شرکت کالیف میگوید ساخت کدی که دو باگ MacOS را با کمک مدل Claude بهرهبرداری کرد، پنج روز طول کشید.
تای دوونگ (Thai Duong)، مدیرعامل شرکت کالیف، گفت این حمله نمیتوانست تنها توسط Mythos انجام شود و از تخصص سایبری بسیار انسانی برخی از هکرهای کالیف بهره برد. دلیل این امر آن است که Mythos در بازتولید حملات مستند شده قبلی سرآمد است. او گفت: «ما موردی ندیدهایم که این هوش مصنوعی تکنیکهای حمله جدیدی را ارائه دهد. این تا حدودی یک چیز جدید است.»
در حالی که بخشی از تبلیغات پیرامون Mythos «اغراقآمیز» است، زالفسکی گفت که استفاده از جدیدترین ابزارها برای «تحقیقات معنیدار آسیبپذیری و ممیزی کد» امکانپذیر است.
محققان این شرکت آنقدر از کشف خود هیجانزده بودند که روز سهشنبه شخصاً از پالو آلتو به مقر اپل در کوپرتینو رفتند تا گزارش ۵۵ صفحهای خود را که باگهای کشف شده را توصیف میکند، ارائه دهند.
آنها قصد دارند جزئیات حمله خود را پس از رفع مشکلات اساسی توسط اپل منتشر کنند. دوونگ گفت که باگها احتمالاً به سرعت برطرف خواهند شد.
انتروپیک (Anthropic) پس از محدود کردن اولیه دسترسی به Mythos به گروه منتخبی از شرکتها و سازمانها، به تدریج دسترسی به آن را گسترش داده است. اوایل سال جاری، هوش مصنوعی انتروپیک در یک دوره دو هفتهای بیش از ۱۰۰ آسیبپذیری با شدت بالا را در مرورگر فایرفاکس (Firefox) کشف کرد. این تعداد معمولاً چیزی است که سایر نقاط جهان در دو ماه پیدا میکنند.
نگرانیها در مورد این پدیده، استراتژی هوش مصنوعی کاخ سفید را برهم زده و باعث شده است که رویکرد عدم دخالت خود در توسعه هوش مصنوعی را مورد ارزیابی مجدد قرار دهد. کاخ سفید اکنون در حال بررسی یک فرمان اجرایی است که نظارت دولتی بر پیشرفتهترین مدلها را به دولت اعطا خواهد کرد.