Algunas semanas Hace, vi un pequeño equipo de inteligencia artificial Los agentes pasan aproximadamente 10 minutos tratando de piratear mi nuevo sitio web codificado por VIBE.
Los agentes de IA, desarrollados por Startup Runsybil, trabajaron juntos para investigar mi pobre sitio para identificar puntos débiles. Un agente de orquestadores, llamado Sybil, supervisa varios agentes más especializados, todos impulsados por una combinación de modelos de lenguaje personalizados y API en el uso del uso.
Mientras que los escáneres de vulnerabilidad convencionales sondean para problemas específicos conocidos, Sybil puede operar a un nivel superior, utilizando intuición artificial para descubrir las debilidades. Podría, por ejemplo, resolver que un usuario invitado tiene acceso privilegiado, algo que un escáner regular podría perderse, y usarlo para construir un ataque.
Ariel Herbert-Voss, CEO y cofundador de Runsybil, dice que es probable que los modelos de IA cada vez más capaces revolucionen la ciberseguridad ofensiva y defensiva. «Yo diría que definitivamente estamos en la cúspide de una explosión tecnológica en términos de capacidades que tanto los actores malos como los buenos pueden aprovechar», me dijo Herbert-Voss. «Nuestra misión es construir la próxima generación de pruebas de seguridad ofensivas solo para ayudar a todos a mantenerse al día».
El sitio web dirigido por Sybil fue uno que creé recientemente usando el código Claude para ayudarme a clasificar los nuevos trabajos de investigación de IA. El sitio que yo llamo Arxiv Slurper consiste en un servidor de backend que accede a ARXIV—Donde se publica la mayoría de la investigación de IA—Construyendo algunos otros recursos, peon a través de resúmenes de papel para palabras como «novela», «primero», «sorprendente», así como algunos términos técnicos que me interesan. Es un trabajo en progreso, pero me impresionó lo fácil que era improvisar algo potencialmente útil, incluso si tuviera que solucionar algunos errores y problemas de configuración a mano.
Sin embargo, un problema clave con este tipo de sitio codificado por el ambiente es que es difícil saber qué tipo de vulnerabilidades de seguridad puede haber introducido. Entonces, cuando hablé con Herbert-Voss sobre Sybil, decidí preguntar si podía probar mi nuevo sitio en busca de debilidades. Afortunadamente, y solo porque mi sitio es increíblemente básico, Sybil no encontró ninguna vulnerabilidad.
Herbert-Voss dice que la mayoría de las vulnerabilidades tienden a ser el resultado de una funcionalidad más compleja como formas, complementos y características criptográficas. Vimos cómo los mismos agentes intentaron sondear Un sitio web de comercio electrónico ficticio con vulnerabilidades conocidas propiedad de Herbert-Voss. Sybil construyó un mapa de la aplicación y cómo se accede, sondeados para puntos débiles manipulando parámetros y probando casos de borde, y luego encadenó los hallazgos, probando hipótesis y aumentando hasta que rompe algo significativo. En este caso, identificó formas de hackear el sitio. A diferencia de un humano, Herbert-Voss dice que Sybil ejecuta miles de estos procesos en paralelo, no pierde detalles y no se detiene. «El resultado es algo que se comporta como un atacante experimentado pero opera con precisión y escala de la máquina», dice.
«Las pruebas de pluma con IA es una dirección prometedora que puede tener beneficios significativos para los sistemas de defensa», dice Lujo Bauer, un científico informático de la Universidad Carnegie Mellon (CMU) que se especializa en seguridad de IA e informática. Bauer recientemente coautor un estudio con otros de CMU y un investigador de la compañía AI Anthrope que explora la promesa de pruebas de penetración de IA. Los investigadores encontraron que los modelos comerciales más avanzados no podían realizar ataques de red, sino que desarrollaron un sistema que estableció objetivos de alto nivel como escanear una red o infectar un host, lo que les permitió realizar pruebas de penetración.
