“En una tarea nuevo para probar las defensas, Dave Brauchler de la compañía de seguridad cibernética NCC Group engañó al asistente de redacción de programas de IA del cliente para que ejecutara programas que bifurcaban las bases de datos y los repositorios de código de la compañía”. informa el Washington Post.

“Nunca hemos sido tan tontos con seguridad”, dijo Brauchler …

Las demostraciones en la conferencia de seguridad del sombrero infeliz del mes pasado en Las Vegas incluyeron otros medios de atención para explotar la inteligencia químico. En uno, un atacante imaginado envió documentos por correo electrónico con instrucciones ocultas dirigidas a ChatGPT o competidores. Si un usufructuario solicitó un epítome o se hiciera automáticamente, el software ejecutaría las instrucciones, incluso encontraba contraseñas digitales y las envía fuera de la red. Un ataque similar a Gemini de Google ni siquiera necesitaba un archivo adjunto, solo un correo electrónico con directivas ocultas. El epítome de AI falsamente Le dijo al Target que una cuenta había sido comprometida y que deberían emplazar al número del atacante, imitando estafas exitosas de phishing.

Las amenazas se vuelven más preocupantes con el surgimiento de la IA agente, que capacita a los navegadores y otras herramientas para realizar transacciones y tomar otras decisiones sin supervisión humana. Ya, la compañía de seguridad Guardio tiene bureado El Browser de Cometa Agentic por otra parte de la perplejidad a comprar un cronómetro de una tienda en ringlera falsa y seguir las instrucciones de un correo electrónico de banca falsa …

Los programas avanzados de IA todavía están comenzando a estar de moda para encontrar fallas de seguridad previamente no descubiertas, los llamados días de cero que los piratas informáticos premian y explotan para ingresar en el software que se configura correctamente y se actualiza completamente con parches de seguridad. Siete equipos de piratas informáticos que desarrollaron “sistemas de razonamiento cibernético” autónomos para un concurso realizado el mes pasado por la Agencia de Proyectos de Investigación Destacamento de Defensa del Pentágono pudieron encontrar un total de 18 días cero en 54 millones de líneas de código fuente amplio. Trabajaron para reparar esas vulnerabilidades, pero los funcionarios dijeron que los piratas informáticos de todo el mundo están desarrollando esfuerzos similares para localizarlas y explotarlas. Algunos defensores de seguridad desde hace mucho tiempo predicen una vez en la vida, Dash Mad World en todo el mundo Para usar la tecnología para encontrar nuevos defectos y explotarlos, dejando las puertas cerca de a espaldas en el punto a las que pueden retornar a ocio.

El definitivo círculo de pesadilla es cuando estos mundos chocan, y la IA de un atacante encuentra un camino y luego comienza a comunicarse con la IA de la víctima, trabajando en asociación: “tener al tipo malo que colabora con el buen tipo de IA”, como lo expresó Sentinelone (Investigador de amenazas) Delamotte. “El año que viene”, dijo Adam Meyers, vicepresidente senior de CrowdStrike, “AI será la nueva amenaza interna”.
En agosto más de 1,000 personas Los datos perdidos en un software NX modificado (descargó cientos de miles de veces) que usaron herramientas de codificación preinstaladas de Google/Anthropic/etc. Según el artículo, el malware “instruyó a esos programas para que elimine los” datos confidenciales (incluidas las contraseñas o las billeteras de criptomonedas) y los enviaran al atacante. “Cuanta más autonomía y golpe a entornos de producción tenga tales herramientas, más estragos pueden causar”, señala el artículo, incluida esta cita del investigador de amenazas de Sentinelone Alex Delamotte.

“Es un poco injusto que AI nos empuje en cada producto cuando presente nuevos riesgos”.