Algumas semanas atrás, assisti a uma pequena equipe de agentes de inteligência synthetic gastar cerca de 10 minutos tentando invadir meu novo web site com código de vibração.
Os agentes da IA, desenvolvidos pela Startup Runsybil, trabalharam juntos para investigar meu pobre web site para identificar pontos fracos. Um agente do orquestrador, chamado Sybil, supervisiona vários agentes especializados, todos alimentados por uma combinação de modelos de linguagem personalizados e APIs prontas para uso.
Enquanto os scanners de vulnerabilidade convencionais sondam para problemas específicos conhecidos, Sybil é capaz de operar em um nível superior, usando a intuição synthetic para descobrir as fraquezas. Pode, por exemplo, descobrir que um usuário convidado tem acesso privilegiado – algo que um scanner common pode perder – e usá -lo para criar um ataque.
Ariel Herbert-Voss, CEO e co-fundador da Runsybil, diz que os modelos de IA cada vez mais capazes provavelmente revolucionarão a segurança cibernética ofensiva e defensiva. “Eu argumentaria que definitivamente estamos à beira de uma explosão tecnológica em termos de capacidades das quais os bons e os bons atores podem tirar proveito”, disse Herbert-Voss. “Nossa missão é construir a próxima geração de testes de segurança ofensivos apenas para ajudar a todos os acompanhar.”
O web site direcionado por Sybil foi um que eu criei recentemente usando o código Claude para me ajudar a resolver novos trabalhos de pesquisa de IA. O web site, que eu chamo Arxiv Slurper Consiste em um servidor de again -end que acessa o ARXIV – onde a maioria das pesquisas de IA é publicada – junto com alguns outros recursos, vasculhando os resumos de papel para palavras como “romance”, “primeiro”, “surpreendente”, assim como alguns termos técnicos que estou interessado.
Um problema importante com esse tipo de web site codificado por vibração, no entanto, é que é difícil saber que tipos de vulnerabilidades de segurança você pode ter introduzido. Então, quando falei com Herbert-Voss sobre Sybil, decidi perguntar se poderia testar meu novo web site em busca de fraquezas. Felizmente, e apenas porque meu web site é incrivelmente básico, Sybil não encontrou nenhuma vulnerabilidade.
Herbert-Voss diz que a maioria das vulnerabilidades tende a ser o resultado de funcionalidades mais complexas, como formas, plugins e recursos criptográficos. Assistimos como os mesmos agentes tentavam sondar Um site de comércio eletrônico dummy com vulnerabilidades conhecidas de propriedade de Herbert-Voss. A Sybil construiu um mapa da aplicação e como ele é acessado, investigado para manchas fracas, manipulando parâmetros e testando casos de borda e, em seguida, achados achados, achados, testando hipóteses e aumentando até quebrar algo significativo. Nesse caso, ele identificou maneiras de invadir o web site. Ao contrário de um humano, Herbert-Voss diz que Sybil administra milhares desses processos em paralelo, não perde detalhes e não para. “O resultado é algo que se comporta como um atacante experiente, mas opera com precisão e escala da máquina”, diz ele.
“O teste de caneta movido a IA é uma direção promissora que pode ter benefícios significativos para defender sistemas”, diz Lujo Bauer, cientista da computação da Universidade Carnegie Mellon (CMU) especializada em IA e segurança de computadores. Bauer recentemente co -autor um estudo com outros da CMU e um pesquisador da empresa de IA antropia que explora a promessa de testes de penetração de IA. Os pesquisadores descobriram que os modelos comerciais mais avançados não podiam realizar ataques de rede, mas desenvolveram um sistema que estabeleceu objetivos de alto nível, como digitalizar uma rede ou infectar um host, o que lhes permitia realizar testes de penetração.
