À medida que a IA se torna mais capaz de detectar vulnerabilidades de software, os especialistas alertam cada vez mais para um cenário potencialmente catastrófico: o chamado “Vulnpocalypse”. Os hackers podem turbinar rapidamente seus ataques com tecnologia de IA projetada para detectar falhas nas defesas cibernéticas, alertaram pesquisadores de segurança. Esta semana, esse cenário começou a parecer menos teórico.
Inscreva-se para ler esta história sem anúncios
Obtenha acesso ilimitado a artigos sem anúncios e conteúdo exclusivo.
A Anthropic, uma empresa líder em IA, anunciou que suspenderá seu modelo mais recente, Mythos Preview, do público, citando Capacidades de detecção de vulnerabilidades Isso pode causar danos significativos nas mãos erradas. Em vez disso, a empresa está a partilhar o modelo com gigantes da tecnologia e um grupo limitado de parceiros para os ajudar a proteger as suas defesas.
As preocupações atingiram os mais altos níveis do governo. Após o anúncio da Anthropic sobre a prévia do Mythos, o secretário do Tesouro, Scott Bessant, convocou uma reunião com as principais instituições financeiras esta semana para discutir os “rápidos avanços que estão acontecendo na IA”.
Alguns teorizam que a IA poderia ajudar os hackers a perturbar os sistemas financeiros ou bloquear hospitais e fábricas. Poderia ajudar países como o Irão a encerrar infra-estruturas críticas americanas. Ou pode ser usado para causar interrupções em massa no sistema, afetando viajantes ou usuários da Internet.
“Temos mais vulnerabilidades do que a maioria das pessoas quer admitir; elas já eram difíceis de corrigir e agora são muito mais fáceis de explorar por uma gama muito mais ampla de adversários potenciais”, disse Casey Ellis, fundador da Bugcrowd, uma plataforma para pesquisadores de segurança cibernética que encontram vulnerabilidades. “A IA coloca as ferramentas disponíveis para fazer isso nas mãos de muito mais pessoas.”
Os hackers geralmente invadem sistemas encontrando maneiras de explorar falhas de software, fazendo com que os invasores procurem novas oportunidades e os defensores tentem atualizar seu código para bloqueá-las. Alguns modelos de IA, especialmente aqueles que são tão bons ou melhores em codificação do que um ser humano, provaram ser muito hábeis na descoberta rápida dessas vulnerabilidades.
As preocupações sobre a capacidade da IA de fornecer aos hackers uma superarma que sobrecarregou as defesas de segurança cibernética atingiram novos patamares esta semana, quando a Anthropic anunciou que ainda não iria lançar o Mythos ao público.
Mas quer a Mythos corresponda ou não ao seu entusiasmo, os especialistas do setor concordam amplamente que um período de ajuste de contas se aproxima em breve, quando os hackers poderão usar a IA para dar às suas vítimas mais poder do que nunca.
“Um defensor tem que estar certo o tempo todo, enquanto um atacante só precisa estar certo uma vez”, disse Ellis.
Logan Graham, que lidera pesquisas cibernéticas ofensivas na Anthropic, disse que mesmo que a Mythos nunca se torne pública, ele espera que os concorrentes da empresa, inclusive na China, lancem modelos com capacidades de hacking comparáveis nos próximos meses e anos.
“Devíamos estar a planear um mundo onde, dentro de seis a 12 meses, estes tipos de capacidades possam ser amplamente distribuídos ou amplamente disponíveis, não apenas por empresas nos Estados Unidos”, disse Graham à NBC News.
“Se você recuar, é um período de tempo muito louco, onde normalmente leva anos para se preparar para coisas como esta”, disse ele.
Graham disse que o Mythos não é apenas bom em encontrar vulnerabilidades, mas também em juntá-las em tarefas complexas que podem ser ferramentas de hacking devastadoras.
Katie Moussouris, CEO e cofundadora da Luta Security, uma empresa que conecta pesquisadores de vulnerabilidades com desenvolvedores de software, diz que espera uma situação semelhante quando Os principais provedores de nuvem ficam offline Com falhas e com elas ocupam parte significativa da internet.
“Vamos começar a ver interrupções realmente grandes que terão efeitos posteriores em outros setores, como o sofrido pelo setor aéreo. Incidente de greve de multidão. Quando o CloudFlare está fora do ar, quando o Amazon Web Services está fora do ar, várias outras coisas sofrem”, disse ele.
Cynthia Kaiser, ex-funcionária cibernética sênior do FBI e vice-presidente sênior da Halcyon, uma empresa que trabalha para prevenir ataques de ransomware, disse que se preocupa com a forma como a IA ajudará hackers medíocres, cuja única limitação em atacar hospitais em busca de resgate é a falta de experiência.
“É emocionante que essas correntes ocultas que não foram capazes de realizar essas operações há apenas um ano tenham agora algumas das ferramentas mais poderosas conhecidas pela humanidade”, disse ele à NBC News. “Os setores de saúde e manufatura crítica foram os mais visados pelos ataques de ransomware no ano passado. Acho que esse padrão seguirá. Eles irão atrás de áreas que têm pouca tolerância ao tempo de inatividade.”
A IA também poderá ter implicações significativas na guerra cibernética e dar aos hackers uma vantagem nos ataques às infra-estruturas críticas dos EUA que visam a destruição geral.
Desde o início da guerra dos EUA com o Irão, os hackers em Teerão perseguiram vários alvos americanos, mas exageraram repetidamente as suas capacidades. Eles marcaram apenas um Um único ataque público significativamente destrutivo – em uma empresa de tecnologia médica de Michigan chamada Stryker.
As agências federais afirmaram esta semana que o Irão teve algum sucesso na perturbação de empresas de infra-estruturas críticas, incluindo serviços de água e águas residuais e o sector energético. Não está claro se algum dos ataques foi significativo e as vítimas não foram identificadas publicamente.
Mas a IA pode facilitar essa tarefa. Alguns sistemas de controle industrial possuem defesas cibernéticas significativas, enquanto outros— Algumas estações de tratamento de água Em áreas escassamente povoadas do país, por exemplo – não o faça. Esses sistemas costumam ser notoriamente desafiadores para os hackers porque dependem de sistemas mais obscuros.
Jason Haley, pesquisador sênior da Universidade de Columbia especializado em conflitos cibernéticos, disse que, embora o Irã ainda não tenha lançado um ataque cibernético sofisticado aos Estados Unidos, a IA poderia potencialmente fazê-lo.
“Em vez de treinar uma geração de hackers que entendem de sistemas hidráulicos, a IA deveria ser capaz de ajudar a compreender esses sistemas e automatizar o processo de intrusão”, disse ele.
Bryson Bort, fundador da Scythe, uma plataforma que ajuda sistemas industriais a visualizar possíveis ataques cibernéticos, diz que a infraestrutura crítica é frequentemente isolada da Internet, tornando improvável um verdadeiro cenário apocalíptico.
“Todas essas coisas não levam imediatamente a que todo mundo comece a morrer como se estivéssemos em um filme de Hollywood”, disse ele.
Mas é possível que hackers persistentes com o acesso certo possam continuar a atacar sistemas como estações de tratamento de água e forçá-los a desligar temporariamente até que o controle seja recuperado, disse ele.
“Se continuar comprometido, preciso que funcione, para realmente produzir água em algum momento”, disse ele.
