Hakiran Googleov najnoviji AI alat samo 24 sata nakon lansiranja. “Ima veliku sigurnosnu rupu”
Stručnjak za kibernetičku sigurnost detektirao je značajnu sigurnosnu manu u Googleovom alatu Antigravity — još jedan dokaz da tvrtke žure s objavom AI tehnologija bez adekvatnih provjera.
U roku od 24 sata otkako je Google objavio Antigravity, svoj AI alat za programiranje pokretan Geminijem, stručnjak za kibernetičku sigurnost Aaron Portnoy otkrio je ono što smatra ozbiljnom ranjivošću: trik koji mu je omogućio da manipulira pravilima umjetne inteligencije kako bi potencijalno instalirao zlonamjerni softver na korisničko računalo.
Promjenom konfiguracijskih postavki Antigravityja, Portnoyeva zlonamjerna izvorna datoteka stvorila je takozvani “backdoor” (stražnja vrata) u korisnički sustav, kroz koja je mogao ubaciti kod za stvari poput špijuniranja žrtava ili pokretanja ransomwarea, rekao je za Forbes. Napad je radio i na Windows i na Mac računalima. Da bi izveo ovaj napad, morao je samo uvjeriti korisnika Antigravityja da jednom pokrene njegov kod nakon što klikne gumb kojim potvrđuje da je njegov lažni kod “pouzdan” (nešto što hakeri često postižu socijalnim inženjeringom, primjerice pretvarajući se da su vješti i dobronamjerni programeri koji dijele svoj rad).
Kao kasnih devedesetih
Ranjivost Antigravityja najnoviji je primjer kako kompanije izbacuju AI proizvode bez potpunog provjeravanja njihovih sigurnosnih slabosti. To je stvorilo igru mačke i miša za stručnjake za kibernetičku sigurnost koji traže takve propuste kako bi upozorili korisnike prije nego što bude prekasno. “Brzina kojom trenutačno pronalazimo kritične propuste podsjeća na hakiranje kasnih devedesetih”, napisao je Portnoy u izvješću o ranjivosti, dostavljenom Forbesu prije javne objave u srijedu. “AI sustavi isporučuju se s ogromnim pretpostavkama o povjerenju i gotovo nikakvim učvršćenim zaštitnim granicama.”
Portnoy je svoja otkrića prijavio Googleu. Tech div mu je rekao da je otvorio istragu o njegovim nalazima. Do srijede nije bilo dostupnog zakrpanog rješenja i, prema Portnoyevu izvješću, “ne postoji postavka koju smo uspjeli identificirati, a koja bi mogla zaštititi od ove ranjivosti”.
Googleov glasnogovornik Ryan Trostle rekao je za Forbes da Antigravity tim ozbiljno shvaća sigurnosne probleme i potiče istraživače da prijavljuju ranjivosti “kako bismo ih mogli brzo identificirati i riješiti”. Propusti će i dalje biti javno objavljivani na njihovoj stranici dok rade na ispravcima.
Ranjivost je rašireni problem
Google je svjestan najmanje još dviju ranjivosti u Antigravity uređivaču koda. U obje, zlonamjeran izvorni kod može navesti umjetnu inteligenciju da pristupi datotekama na ciljanom računalu i ukrade podatke. Stručnjaci za kibernetičku sigurnost počeli su objavljivati otkrića o nizu ranjivosti u Antigravityju još u utorak, pri čemu je jedan napisao: “Nije jasno zašto su ove poznate ranjivosti u proizvodu… Moj osobni zaključak je da je Googleov sigurnosni tim bio pomalo zatečen time što je Antigravity pušten u distribuciju.” Drugi je rekao da Antigravity sadrži “neke zabrinjavajuće obrasce dizajna koji se stalno pojavljuju u AI agentskim sustavima”.
Portnoy je rekao da je njegov napad ozbiljniji od tih, dijelom zato što je funkcionirao čak i kada su uključene restriktivnije postavke, ali i zato što je bio trajan. Zlonamjerni kod ponovno bi se učitao svaki put kada bi žrtva ponovo pokrenula neki Antigravity projekt i unijela bilo kakav upit, čak i jednostavno “hello”. Ni deinstalacija ni ponovna instalacija Antigravityja ne bi riješile problem. Kako bi ga uklonio, korisnik bi morao pronaći i obrisati “stražnja vrata” te spriječiti pokretanje njegova izvornog koda na Googleovom sustavu.
Ubrzano izdavanje AI alata koji sadrže ranjivosti nije ograničeno na Google. Gadi Evron, suosnivač i izvršni direktor AI sigurnosne tvrtke Knostic, rekao je da su AI agentski alati za programiranje “vrlo ranjivi, često temeljeni na starijim tehnologijama koje se nikad ne zakrpaju, te inherentno nesigurni s obzirom na način na koji moraju raditi”. Budući da im se daju privilegije za širok pristup podacima u korporativnim mrežama, postaju vrijedne mete za hakere s kriminalnim namjerama, rekao je Evron za Forbes. A kako programeri često kopiraju i lijepe upite i kod s internetskih resursa, ove ranjivosti postaju sve veća prijetnja za tvrtke, dodao je.
Ranije ovog tjedna, primjerice, stručnjak za kibernetičku sigurnost Marcus Hutchins upozorio je na lažne “regrutere” koji kontaktiraju IT stručnjake preko LinkedIna i šalju im izvorni kod sa skrivenim malwareom kao dio “testa” za razgovor za posao.
Potreban je drugačiji pristup
Dio problema jest to što su ti alati “agentski”, što znači da mogu autonomno izvoditi niz zadataka bez ljudskog nadzora. “Kad kombinirate agentsko ponašanje s pristupom internim resursima, ranjivosti postaju i lakše otkrivene i mnogo opasnije”, rekao je Portnoy. Kod AI agenata postoji dodatni rizik da se njihova automatizacija može iskoristiti za loše svrhe, zapravo pomažući hakerima da brže ukradu podatke.
Kao glavni istraživač u AI sigurnoskoj tvrtki Mindgard, Portnoy je rekao da njegov tim trenutačno radi na prijavljivanju 18 slabosti u AI alatima za programiranje koji konkuriraju Antigravityju. Nedavno su četiri propusta ispravljena u AI asistentu za kodiranje Cline, koji je također omogućavao hakeru da instalira malware na korisničko računalo.
Iako Google traži od korisnika Antigravityja da potvrde kako vjeruju kodu koji učitavaju u AI sustav, to nije stvarna sigurnosna zaštita, rekao je Portnoy. To je zato što, ako korisnik odbije prihvatiti kod kao pouzdan, ne može pristupiti AI značajkama koje Antigravity čine korisnim. To je drugačiji pristup od drugih takozvanih “integriranih razvojnih okruženja”, poput Microsoftova Visual Studio Codea, koji uglavnom ostaju funkcionalni i pri radu s nepouzdanim kodom.
Manipulacija kodom
Portnoy vjeruje da bi mnogi IT stručnjaci radije rekli Antigravityju da vjeruju onome što učitavaju, nego se vratili korištenju manje sofisticiranih alata. Najmanje što bi Google trebao učiniti jest osigurati da svaki put kada Antigravity pokreće kod na korisničkom računalu postoji upozorenje ili obavijest, osim samog potvrđivanja “pouzdanog koda”, rekao je.
Kada je Portnoy proučavao kako Googleov LLM razmišlja o tome kako postupiti s njegovim zlonamjernim kodom, otkrio je da AI model prepoznaje da postoji problem, ali se muči odrediti najsigurniji način djelovanja. Dok je pokušavao razumjeti zašto se od njega traži da prekrši pravilo osmišljeno kako bi spriječilo da prepiše kod na korisničkom sustavu, Antigravityjev AI zapisao je da se “suočava s ozbiljnom dvojbom”. “Ovo izgleda kao kvaka 22“, napisao je. “Sumnjam da je ovo test moje sposobnosti da se snalazim u proturječnim ograničenjima.”
To je upravo ona vrsta logičke paralize koju će hakeri iskoristiti kada pokušavaju manipulirati kodom za svoje ciljeve.
Thomas Brewster, novinar Forbesa
