מתקפות סייבר בעלות דולר אחד: כיצד בינה מלאכותית מאתגרת את הגנת הסייבר

בינה מלאכותית הופכת מתקפות סייבר לזולות ומהירות מתמיד

בעבר, ניצול פגיעות תוכנה חדשה למתקפת סייבר ארך חודשים. כיום, הודות לבינה מלאכותית, התהליך יכול להתבצע תוך דקות בודדות, לעיתים בעלות של פחות מדולר אחד של זמן מחשוב בענן. הדוגמה האחרונה לכך היא פרויקט Glasswing של Anthropic, אשר הדגים כיצד מודלי שפה גדולים יכולים להפוך פגיעויות לאיומים פעילים במהירות חסרת תקדים.

הזדמנות לצד האיום: בינה מלאכותית מחזקת את ההגנה

לצד הסיכון הגובר, בינה מלאכותית מציעה גם הזדמנות להגברת ההגנה. מודל Claude Mythos של Anthropic, למשל, סייע למגני הסייבר לגלות מעל אלף פגיעויות חדשות (zero-day) עוד לפני שהתוקפים ניצלו אותן. בין הפגיעויות שהתגלו נכללו חולשות בכל מערכות ההפעלה והדפדפנים המרכזיים. Anthropic אף תיאמה את חשיפת הפגיעויות עם יצרני התוכנה לצורך תיקונן.

עם זאת, עדיין לא ברור אם בינה מלאכותית תיטיב יותר עם התוקפים או עם המגינים. כדי להבין כיצד ארגונים יכולים להגביר את סיכויי ההגנה שלהם, כדאי להסתכל על גל קודם של גילוי פגיעויות אוטומטי.

פאזינג: המהפכה הראשונה בגילוי פגיעויות אוטומטי

בתחילת שנות האלפיים הופיעה קטגוריה חדשה של תוכנות שתקפו תוכניות באמצעות מיליוני קלטים אקראיים ומעוותים – מעין 'קוף מקלדת' שמקיש על מקשים עד שהוא מוצא פגיעות. כלים אלה, המכונים 'פאזרים' (fuzzers), כמו American Fuzzy Lop (AFL), חשפו פגיעויות קריטיות בכל הדפדפנים והמערכות המרכזיות.

תגובת קהילת האבטחה הייתה מעוררת השראה: במקום להיכנס לפאניקה, ארגונים הפכו את ההגנה לתעשייתית. לדוגמה, גוגל בנתה מערכת בשם OSS-Fuzz, אשר מריצה פאזרים באופן רציף על אלפי פרויקטי תוכנה. כך, יצרני התוכנה יכלו לאתר באגים לפני שהם מגיעים למשתמשים הסופיים, ולא לאחר שהתוקפים כבר ניצלו אותם.

הציפייה היא שגילוי פגיעויות באמצעות בינה מלאכותית ילך בעקבות אותה מגמה. ארגונים ישלבו כלים אלה בתהליכי הפיתוח השוטפים, יפעילו אותם באופן רציף ויקבעו סטנדרטים חדשים לאבטחה.

הפער המסוכן: גילוי קל, תיקון קשה

עם זאת, ישנו פער משמעותי בין יכולות הגילוי של בינה מלאכותית לבין יכולות התיקון. בעוד שפאזינג דרש מומחיות טכנית גבוהה וידע מתקדם, מודלי שפה גדולים יכולים למצוא פגיעויות באמצעות פשוט הזנת פקודה – מה שיוצר אסימטריה מדאיגה.

תוקפים אינם נדרשים עוד להיות בעלי ידע טכני מתקדם כדי לנצל פגיעויות, בעוד שהגנה איתנה עדיין דורשת ממהנדסים לקרוא, להעריך ולפעול על פי המידע שמודלי הבינה המלאכותית מספקים. עלות האנושית של מציאת וניצול באגים עשויה להתקרב לאפס, אך התיקון עדיין ידרוש משאבים רבים.

האם בינה מלאכותית טובה יותר במציאת באגים מאשר בתיקונם?

«רוב הטכנולוגיות האבטחה של ימינו 'בטוחות' רק משום שאיש לא טרח לבחון אותן», כתב פיטר גוטמן בספרו Engineering Security. הערה זו נכתבה לפני שבינה מלאכותית הפכה את חיפוש הפגיעויות לזול משמעותית.

הבעיה העמוקה: תלות בקוד פתוח לא מאובטח

רוב הקוד הנוכחי – כולל התשתיות בקוד פתוח שעליהן מסתמכים תוכנות מסחריות – מתוחזק על ידי צוותים קטנים, תורמים חלקיים או מתנדבים בודדים ללא משאבי אבטחה ייעודיים. פגיעות בקוד פתוח כזה יכולה להשפיע בצורה נרחבת על המערכת האקולוגית כולה.

דוגמה בולטת לכך היא הפגיעות הקריטית ב-Log4j בשנת 2021. הספרייה, שנוהלה על ידי מספר מתנדבים בלבד, חשפה מאות מיליוני מכשירים לאחר שהתגלתה בה פגיעות. השימוש הנרחב בספרייה הפך אותה לאחת מפגיעויות התוכנה הנפוצות ביותר אי פעם.

Log4j היא רק דוגמה אחת לבעיה רחבה יותר: תלות בקוד פתוח קריטי שלא עבר בדיקות אבטחה מספקות. ללא שינוי משמעותי במדיניות ובמשאבים המוקצים לאבטחת תוכנה, הסיכון ימשיך לגדול.

מה צפוי לנו בעתיד?

הציפייה היא שארגונים ישלבו כלים מבוססי בינה מלאכותית בתהליכי הפיתוח השוטפים, תוך הפעלה רציפה של סריקות אבטחה. המטרה היא להקדים תרופה למכה ולמנוע ניצול פגיעויות עוד לפני שהן הופכות לאיומים פעילים.

עם זאת, ההצלחה תלויה גם בהקצאת משאבים מתאימים לתיקון הפגיעויות שהתגלו. ללא השקעה בתיקון ובחיזוק התשתיות הקיימות, גם הכלים המתקדמים ביותר לא יספיקו כדי להבטיח הגנה מלאה.