Cyberangreb for under én dollar: Hvordan AI ændrer trusselsbilledet

For blot få år siden tog det måneder at omdanne en nyopdaget softwarefejl til et cyberangreb. I dag kan generativ AI gøre det på få minutter – og til en pris på under én dollar i skycomputing. Det viser seneste eksempler som Anthropics Project Glasswing, hvor AI identificerede sårbarheder hurtigere end nogensinde før.

AI som våben og værn

Mens store sprogmodeller udgør en reel trussel, åbner de også døren til stærkere forsvarsmekanismer. Ifølge Anthropic har deres Claude Mythos-model allerede hjulpet sikkerhedseksperter med at opdage over tusind ukendte sårbarheder – herunder fejl i alle større operativsystemer og webbrowsere. Anthropic koordinerer nu rettelser og patches for at lukke hullerne.

Det er endnu uvist, om AI-dreven fejlsøgning vil favorisere angribere eller forsvarere på lang sigt. Men for at forstå, hvordan organisationer kan styrke deres position, er det værd at se tilbage på en tidligere bølge af automatiseret fejlfindning.

Læren fra fuzz-testing

I begyndelsen af 2010’erne dukkede en ny kategori software op: fuzzere. Disse værktøjer angreb programmer med millioner af tilfældige, fejlbehæftede input – som en abe, der hamrer på tastaturet, indtil den rammer en sårbarhed. Da værktøjer som American Fuzzy Lop (AFL) blev lanceret, afslørede de kritiske fejl i alle større browsere og operativsystemer.

Sikkerhedssamfundets reaktion var afgørende: I stedet for panik industrialiserede organisationerne forsvaret. Google udviklede for eksempel OSS-Fuzz, et system, der kører fuzzere døgnet rundt på tusindvis af softwareprojekter. På den måde kunne udviklere opdage fejl før de blev udnyttet af angribere.

Eksperter forventer, at AI-dreven fejlsøgning vil følge samme mønster. Virksomheder vil integrere værktøjerne i deres udviklingsprocesser, køre dem kontinuerligt og etablere en ny sikkerhedsstandard.

En ubalance i AI’s favør

Men der er en afgørende forskel mellem fuzz-testing og AI. Fuzzere krævede avanceret teknisk ekspertise at opsætte og anvende – de var et værktøj for specialister. AI derimod finder sårbarheder blot ved at modtage en prompt. Det skaber en skævhed: Angribere behøver ikke længere at være teknisk kyndige for at udnytte fejl, mens robuste forsvarsmekanismer stadig kræver eksperter til at analysere og rette op på de fundne problemer.

Selvom omkostningerne ved at finde og udnytte fejl nærmer sig nul, bliver omkostningerne ved at reparere dem fortsat høje.

Den skjulte risiko i åben kildekode

Peter Gutmann, forfatter til bogen Engineering Security, observerede engang, at

mange af dagens sikkerhedsteknologier kun er 'sikre', fordi ingen nogensinde har undersøgt dem grundigt.

Meget af den nuværende kode – herunder kritisk open source-infrastruktur, som kommerciel software afhænger af – bliver vedligeholdt af små hold, deltidsmedarbejdere eller frivillige uden dedikerede sikkerhedsressourcer. En enkelt fejl i et open source-projekt kan få store konsekvenser.

I 2021 viste Log4j-sårbarheden netop dette problem. En kritisk fejl i et logningsbibliotek vedligeholdt af få frivillige udsatte hundredvis af millioner enheder for angreb. Log4j’s udbredte anvendelse gjorde det til en af de mest omfattende softwarefejl nogensinde registreret.

Log4j er blot ét eksempel på et større problem: kritiske softwareafhængigheder, der aldrig er blevet ordentligt gennemgået for sårbarheder.