Postřehy z bezpečnosti: AI modely a funkce, kam se oko podívá

Včera
Doba čtení: 6 minut

Sdílet

Umělá inteligence oko
Autor: Root.cz s využitím Duck.ai
V dnešním díle Postřehů se podíváme na opětovné zpřístupnění pokročilých modelů společnosti Anthropic, útoky využívající AI halucinací nebo další nejistotu v oblasti předávání dat mezi EU a USA.

Změny okolo AI, aneb (nejen) dostupnost pokročilých LLM modelů

Problematika využití moderních „frontier“ AI modelů je v kybernetické bezpečnosti v posledních měsících velmi často zmiňována zejména v souvislosti s vyhledáváním zranitelností a možností jejich využití v rámci ofenzivních aktivit. Byť o rozsahu, v němž tyto nástroje kybernetickou bezpečnost reálně (z)mění lze v některých ohledech pochybovat, jejich mediální image působí jako kdyby díky jejich využití docházelo k posunu všech bezpečnostních paradigmat.

Za určitou ilustraci toho, do jak absurdní roviny se může dostat veřejná debata o schopnostech těchto modelů, může posloužit např. nedávné vyjádření amerického senátora Marka Warnera, podle něhož měl ředitel NSA a velení kybernetických sil USA tvrdit, že model Mythos kompromitoval v řádu hodin v podstatě všechny utajované systémy NSA. Právě v tomto kontextu je zajímavá i krátká epizoda okolo modelu Claude Fable 5 společnosti Anthropic, u něhož Americká vláda před několika týdny omezila dostupnost poté, co u něj byly výzkumným týmem společnosti Amazon popsány možnosti obcházení bezpečnostních mechanismů a získání výstupů použitelných pro identifikaci zranitelností a vytváření exploitů.

Minulé úterý, tedy po pouhých 19 dnech od zavedení, však byla tato omezení zrušena a model Fable je tak i pro české uživatele v době přípravy tohoto textu již opět dostupný. Model Mythos, který byl v souvislosti s celou kauzou rovněž zmiňován, je dle dostupných informací nadále zpřístupněn v režimu omezeném především na vybrané americké organizace zapojené do ochrany kritické infrastruktury.

Anthropic v rámci opětovného zpřístupnění modelu Fable doplnil nový bezpečnostní klasifikátor, který má blokovat problematické požadavky popsané v původním reportu. Dle vyjádření jmenované společnosti má nový mechanismus pokusy o „jailbreak“ modelu zachytit ve více než 99 % případů – byť za cenu vyššího množství falešně pozitivních blokací při legitimních interakcích. Zmínku v souvislosti s omezeními týkajícími se přístupu k „frontier“ modelům zaslouží rovněž model GPT-5.6 Sol představený v uplynulém týdnu společností OpenAI.

I tento model byl totiž v souvislosti s nedávným prezidentským dekretem, který se bezpečnosti AI modelů věnuje, a konzultacemi s americkou vládou prozatím spuštěn pouze v omezeném režimu, kdy byl zpřístupněn výhradně vybraným „důvěryhodným partnerům“.

V kontextu AI zaslouží krátké pozastavení rovněž společnost Microsoft.

Ta po kritice uživatelů zrušila implementaci nové funkce pro rozšířené vyhledávání v historii prohlížeče Edge založené na AI. Byť měla tato funkce údajně pracovat výhradně s lokálním modelem trénovaným na historii navštívených stránek, mezi uživateli panovaly obavy z možného úniku dat mimo lokální systémy.

Do platformy Teams pak Microsoft v úterý doplnil nové možnosti blokování neautorizovaných botů a AI asistentů v online schůzkách, což je v kontextu širšího nasazování nástrojů pro automatické přepisy, sumarizace a zpracování obsahu schůzek jednoznačně pozitivní krok.

Phantom squatting jako technika zneužívající halucinace AI modelů

U problematiky AI a kybernetické bezpečnosti ještě chvilku zůstaneme. Výzkumníci z týmu Unit 42 společnosti Palo Alto totiž v úterý upozornili na novou útočnou techniku využitelnou (nejen) pro kompromitaci softwarových dodavatelských řetězců označovanou jako phantom squatting.

Uvedená technika zneužívá občasné halucinace generativních AI modelů při vytváření odkazů na domény – mj. ty, na nichž jsou hostované systémy poskytující API přístup k automaticky využívaným službám. Pokud si útočníci zaregistrují neexistující domény, které modely chybně doporučují jako legitimní, možnosti jejich využití jsou pochopitelně velmi široké.

Technika je přitom v principu podobná již dříve popsaným mechanismům založeným na vytváření podvodných softwarových balíčků s názvy podobnými těm legitimním, u nichž může v důsledku halucinovaných názvů dojít k použití. Rozdíl je pouze v tom, že nově popsaná technika nespoléhá na halucinovanou závislost v kódu, ale na halucinovanou doménu, na níž mohou být uživatelé nebo autonomní AI agenti navedeni samotným výstupem modelu.

Zejména v prostředích, kde se AI asistenti používají pro dohledávání dokumentace, interních portálů nebo API endpointů, může jít do budoucna o potenciálně zajímavý a efektivní vektor útoku.

Předávání dat do USA bude zřejmě opět problematičtější

Nezisková organizace noyb, která se zaměřuje na ochranu citlivých a osobních dat, v pondělí upozornila na rozhodnutí amerického Nejvyššího soudu, které může podle její interpretace opět zkomplikovat předávání osobních údajů z Evropské unie do Spojených států. Problém má podle ní spočívat zejména v tom, že rozhodnutí může dále oslabit předpoklad nezávislého dohledu nad ochranou osobních údajů ve Spojených státech, na němž Evropská komise při schvalování současného rámce pro předávání dat do USA významně stavěla.

Byť uvedené rozhodnutí neznamená okamžité zneplatnění současného rámce pro transatlantické předávání dat, rozhodně si zaslouží pozornost, zejména vzhledem k historii mechanismů Safe Harbor a Privacy Shield, které mu předcházely a které byly postupně vzhledem k nedostatečným zárukám zajištění dostatečné ochrany osobních dat zrušeny. Pokud by totiž výklad noyb sdílely i evropské soudy či regulátoři, mohlo by to znovu otevřít mj. otázku možnosti využívání některých amerických cloudových služeb ze strany evropských organizací

Ve financování kybernetické bezpečnosti v USA (snad) svítá na lepší časy

V USA v uplynulém týdnu pokračovala debata o budoucím financování a personálním zajištění agentury CISA. V nedávné době byly s touto organizací spojeny významné škrty, aktuálně se však objevují informace o možném opětovném navýšení jejích personálních kapacit.

Paralelně s tím americké ministerstvo vnitřní bezpečnosti (DHS) pokračovalo ve spouštění nového programu ANCHOR-CI, který má sloužit ke sdílení informací a koordinaci ochrany kritické infrastruktury mezi státem a soukromým sektorem, a který má nahradit vloni zrušený program CIPAC, který sloužil témuž účelu. Výše popsaný vývoj ve Spojených státech je vysoce relevantní i pro české organizace, neb by mohl indikovat opětovný zájem o podporu obecně prospěšných bezpečnostních iniciativ, které byly v nedávné době ze strany federální vlády utlumeny. Specificky lze doufat, že výše zmíněné aktivity by se časem mohly vést i k opětovnému rozšíření fungování databáze NVD, která agreguje zranitelnosti, jimž byly přiřazeny CVE identifikátory.

V dubnu totiž organizace NIST oznámila, že již nebude obohacovat všechny záznamy v této databázi, ale přejde „rizikovému modelu“, v rámci něhož bude doplňovat informace převážně ke zranitelnostem uvedeným v katalogu Known Exploited Vulnerabilities agentury CISA, zranitelnosti v softwaru používaném americkou federální vládou a zranitelnosti v tzv. kritickém softwaru. Ostatní CVE záznamy mají být sice nadále v NVD publikovány, ale mohou zůstat (a prozatím dle dostupných informací často zůstávají) bez doplnění informací jako je CVSS skóre, nebo vazby na katalogy CWE či CPE.

Trojanizované PoC exploity využívané pro cílení na výzkumníky

Výzkumníci z organizací YesWeHack a Sekoia upozornili v uplynulém týdnu na novou kampaň, v rámci níž byly na GitHubu publikovány trojanizované proof-of-concept exploity, které při použití distribuovaly malware označovaný jako ChocoPoC.

Školení Zabbix

Trojanizované exploity samozřejmě nejsou novou myšlenkou – škodliví aktéři je úspěšně využívají již řadu let – a na výše uvedené kampani tak bylo zajímavé především to, že škodlivý obsah nebyl vložen přímo do kódu samotných exploitů, ale byl obsažen v externích balíčcích, na nichž byl daný kód závislý. Tento přístup citelně zvyšoval pravděpodobnost, že si uživatel při zběžné kontrole kódu exploitu nebezpečného chování nevšimne.

Ostatní zajímavosti

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Neutrální ikona do widgetu na odběr článků ze seriálů

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.


Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.