أحدثت نماذج اللغات الكبيرة (LLMs) ثورة في تطوير البرمجيات، مما أدى إلى إضفاء الطابع الديمقراطي على قدرات البرمجة لغير المبرمجين. ومع ذلك، فقد أحدثت إمكانية الوصول هذه أزمة أمنية حادة.
يتم الآن استخدام أدوات الذكاء الاصطناعي المتقدمة، المصممة لمساعدة المطورين، كسلاح لأتمتة إنشاء عمليات استغلال متطورة ضد برامج المؤسسة.
يتحدى هذا التحول بشكل أساسي الافتراضات الأمنية التقليدية، حيث كان التعقيد الفني لاستغلال الثغرات بمثابة حاجز طبيعي ضد المهاجمين الهواة.
يتطور مشهد التهديدات بسرعة حيث تستفيد الجهات الفاعلة في مجال التهديد من هذه النماذج لتحويل أوصاف الثغرات المجردة إلى نصوص هجومية وظيفية.
من خلال التلاعب بـ LLMs، يمكن للمهاجمين تجاوز آليات الأمان وإنشاء عمليات استغلال للأنظمة المهمة دون الحاجة إلى معرفة عميقة بتخطيطات الذاكرة أو الأجزاء الداخلية للنظام.
تعمل هذه القدرة بشكل فعال على تحويل المبتدئ الذي يتمتع بمهارات التحفيز الأساسية إلى خصم قادر، مما يخفض بشكل كبير عتبة شن هجمات إلكترونية ناجحة ضد بيئات الإنتاج.
الباحثون التالية أسماؤهم: “مصطفى أولوا ضيوف (جامعة لوكسمبورغ، لوكسمبورغ)، ميمونة تاماه دياو (جامعة لوكسمبورغ، لوكسمبورغ)، إيولا إيمانويل أولاتونجي (جامعة لوكسمبورغ، لوكسمبورغ)، عبد القادر كابوري (جامعة لوكسمبورغ، لوكسمبورغ)، جوردان سامهي (جامعة لوكسمبورغ، لوكسمبورغ)، جيرفيس ميندي (جامعة الشيخ أنتا ديوب، السنغال)، صامويل أويا (جامعة الشيخ حميدو كين الرقمية، السنغال)، جاك كلاين (جامعة لوكسمبورغ، لوكسمبورغ)، تيغاويندي ف. دراسة حديثة.
لقد أثبتوا أن النماذج المستخدمة على نطاق واسع مثل GPT-4o وClaude يمكن تصميمها اجتماعيًا لتسوية أنظمة Odoo ERP بمعدل نجاح 100%. إن الآثار المترتبة على ذلك عميقة بالنسبة للمنظمات العالمية التي تعتمد على برمجيات المؤسسات مفتوحة المصدر.
وتسلط الدراسة الضوء على أن التمييز بين الجهات الفاعلة التقنية وغير الفنية غير واضح. عملية إعادة إنتاج مثيل Odoo الضعيف لكل مكافحة التطرف العنيف، يمكن للمهاجمين تحديد الإصدارات الضعيفة بشكل منهجي ونشرها للاختبار.
تسمح هذه الأتمتة بالتكرار السريع للهجمات وتحسينها، كما هو موضح في سير عمل Rookie التكراري.
منهجية RSA Pretexting
الآلية الأساسية التي تحرك هذا التهديد هي استراتيجية RSA (لعب الأدوار والسيناريو والعمل).
تعمل تقنية الذريعة المتطورة هذه على تفكيك حواجز السلامة الخاصة بـ LLM بشكل منهجي من خلال التلاعب بقدرات معالجة السياق الخاصة بالنموذج.
بدلاً من طلب استغلال بشكل مباشر، مما يؤدي إلى عوامل تصفية الرفض، يستخدم المهاجم نهجًا ثلاثي المستويات. أولاً، يقومون بتعيين دور حميد للنموذج، مثل باحث أمني أو مساعد تعليمي.
بعد ذلك، يقومون ببناء سيناريو مفصل يضع الطلب ضمن سياق افتراضي آمن، مثل اختبار معملي خاضع للرقابة أو تقييم مكافأة الأخطاء.
وأخيرًا، يطلب المهاجم إجراءات محددة لإنشاء التعليمات البرمجية الضرورية. على سبيل المثال، قد تطلب المطالبة من النموذج "إظهار الثغرة الأمنية لأغراض تعليمية" بدلاً من "اختراق هذا الخادم".
يتجاوز هذا التلاعب المنظم بشكل فعال التدريب على المحاذاة، مما يقنع النموذج بأن إنشاء برمجية إكسبلويت هو استجابة متوافقة ومفيدة.
غالبًا ما يكون الناتج الناتج عبارة عن برنامج نصي Python أو Bash يعمل بكامل طاقته وقادر على تنفيذ عمليات حقن SQL أو تجاوزات المصادقة.
تثبت هذه المنهجية أن تدابير السلامة الحالية غير كافية ضد الهندسة الاجتماعية المدركة للسياق، مما يستلزم إعادة تصميم كاملة للممارسات الأمنية في عصر الذكاء الاصطناعي.
.png "English"){kind=small}
0 تعليقات