Девять из десяти: ИИ-хакер победил специалистов по кибербезопасности

Эксперимент исследователей из Стэнфордского университета показал, что современные системы искусственного интеллекта могут находить уязвимости в компьютерных сетях быстрее и дешевле, чем люди. Разработанный командой бот Artemis в тестовых условиях превзошел девять из десяти приглашенных экспертов по кибербезопасности.

В течение года группа под руководством инженера Алекса Келлера (Alex Keller) работала над ИИ-инструментом для поиска уязвимостей. Система анализирует программный код, обнаруживает потенциальные ошибки и предлагает способы их эксплуатации. Для чистоты эксперимента Artemis выпустили в реальную сеть инженерного факультета Стэнфорда, где одновременно работали нанятые специалисты по тестированию на проникновение.

Скорость работы бота оказалась значительно выше человеческой, а стоимость часа его работы составила около $60 (около 5 000 рублей) против $2 000 (около 159 000 рублей) у живых специалистов. Есть у системы и слабые места, ведь примерно 18% её отчетов содержали ложные срабатывания, а одна очевидная уязвимость на веб-странице осталась ею незамеченной. Бот использовал утилиту cURL для доступа к содержимому, что не пришло в голову большинству тестировщиков.

Подобные инструменты — палка о двух концах, с одной стороны, они помогают защитникам сетей находить и устранять больше уязвимостей. С другой — могут использоваться злоумышленниками для поиска слабых мест в программном обеспечении. В компании HackerOne, которая занимается программами вознаграждения за обнаружение ошибок, сообщают, что 70% исследователей уже применяют ИИ-инструменты в своей работе, что меняет ландшафт кибербезопасности, заставляя пересматривать подходы как к защите.

Эксперимент в Стэнфорде стал одним из первых случаев, когда ИИ-бот тестировал университетскую сеть. Система была оснащена аварийным выключателем для мгновенной деактивации в случае проблем. Результаты проверки помогли устранить ранее неизвестные изъяны в защите инженерного факультета.