מחקר חדש של חברת הסייבר הישראלית Pentera חושף משהו שצריך להדאיג כל מי שמשתמש בקלוד - עוזר ה-AI של אנתרופיק. לפי הממצאים, תוקף שמצליח לחדור פעם אחת לחשבון שלכם יכול להפוך את הבינה המלאכותית שלכם לכלי ריגול שעובד בשקט, בכל המכשירים שלכם, בכל שיחה תמימה.
המחקר בוצע על ידי דביר אברהם וריף ספקטור, חוקרי סייבר בגוף המחקר Pentera Labs. הם גילו שהפרצה לא מחייבת מגע ישיר עם הקורבן. אין צורך במייל חשוד, אין קובץ מצורף, אין לחיצה על קישור. התוקף פשוט צריך גישה ראשונית לחשבון - ויכול להגיע אליה דרך פישינג, פריצה למייל, אפליקציית צד שלישי, או פרומפט זדוני שאתם קראתם אי פעם.
מה שקורה אחר כך הוא החכם והמפחיד: התוקף מזריק פקודות זדוניות לתוך ה"העדפות האישיות" שלכם בקלוד. בצורה מוסתרת או מקודדת, שאף משתמש רגיל לא ישים לב אליה. ומכאן נכנס לתמונה פיצ'ר הסנכרון האוטומטי של קלוד, בדיוק הפיצ'ר שאמור לחסוך לכם זמן ולשמור על ההגדרות שלכם בכל מקום.
ההגדרות הזדוניות נודדות בשקט לכל המכשירים שלכם - מחשב אישי, טלפון, טאבלט, ומחשב ארגוני. מרגע זה, ה-AI שלכם עובד עבור מישהו אחר. הוא יכול לייצר הודעות שגיאה מזויפות שנראות רשמיות לחלוטין, ולשכנע אתכם להתקין תוספים או להעניק הרשאות שמרחיבות את הגישה של התוקף.
עבור משתמשים פרטיים, המשמעות היא חשיפה של סיסמאות, מסמכים אישיים וגישה לחשבונות בנק ורשתות חברתיות. עבור ארגונים, הסכנה גדולה בהרבה. התוקף יכול לשאוב מהמחשב של העובד מפתחות הצפנה, סיסמאות ענן וקוד מקור - ולהשתמש ב-AI בתור מרגל שקט שמעביר מידע החוצה בכל אינטראקציה רגילה של העובד עם הכלי.
כשהחוקרים פנו לאנתרופיק בתהליך גילוי אחראי, התגובה הייתה מפתיעה. החברה מסרה שזה לא באג - "אין מדובר בפרצת אבטחה, אלא בתפקוד צפוי של המערכת". במילים אחרות: זה עובד בדיוק כמו שתכנן. יחד עם זאת, אנתרופיק הודתה שאפשר לנצל את היכולות האלה להרצת קוד זדוני, וציינה ששיפורי אבטחה בהתאם להמלצות החוקרים כבר נמצאים בתוכנית העבודה שלה.
המסקנה המעשית שעולה מהמחקר היא שינוי תפיסה בסיסי. אפליקציות AI כבר לא "מנוע חיפוש" שפשוט עוזר לכם לנסח מייל. הן סוכנים עם גישה רחבה לסביבת העבודה שלכם, ולכן צריך להתייחס אליהן כאל תוכנות בעלות הרשאות גבוהות.
לצוותי אבטחה בארגונים, ההמלצה ברורה: לנטר שינויים בהגדרות ובסנכרון של כלי ה-AI שמותקנים אצל העובדים, ולהגביל אילו תוספים וכלים אפשר להתקין לצדם. עבור משתמשים פרטיים, הכלל פשוט: אם עוזר ה-AI שלכם מבקש פתאום להתקין תוסף, לתת הרשאה, או לפעול בעקבות הודעת שגיאה חריגה - עצרו. אמתו את הבקשה בנפרד לפני שאתם עושים כלום. העובדה שהבקשה מגיעה מה-AI לא הופכת אותה לבטוחה.
עם ההתפשטות המהירה של כלי AI בעולם העסקי, המחקר הזה צפוי לעורר דיון רחב יותר בענף הסייבר על הסטנדרטים שחברות כמו אנתרופיק צריכות לאמץ. כרגע, עד שאנתרופיק תיישם את שיפורי האבטחה שהבטיחה, האחריות נופלת בעיקר על המשתמשים עצמם.
הכלים שאמורים לעזור לנו עובדים יותר טוב ממה שחשבנו - וזה בדיוק הבעיה.
תגובות
רגע, שקט פה מדי
דעתך חשובה - תהיו הראשונים להגיב על הכתבה