นักวิจัยจากมหาวิทยาลัยโตรอนโต, Vector Institute, มหาวิทยาลัยเคมบริดจ์ และ ServiceNow ได้สาธิตเวิร์มที่ขับเคลื่อนด้วย AI ซึ่งสามารถสร้างกลยุทธ์การโจมตีและแพร่กระจายได้อย่างอิสระข้ามเครือข่าย มัลแวร์ต้นแบบทำงานบนเครื่องที่ติดเชื้อโดยใช้โมเดลแบบโอเพนเวต (open-weight) แทนบริการบนคลาวด์ ซึ่งถือเป็นการเปลี่ยนทิศจากภัยคุกคามที่ขับเคลื่อนด้วย AI ในระยะแรกๆ งานวิจัยชี้ว่าแนวทางนี้ทำให้การโจมตีไซเบอร์ที่ขับเคลื่อนด้วย AI ก้าวพ้นจากระดับทฤษฎีแล้ว โดยเวิร์มสามารถระบุช่องโหว่ วางแผนเส้นทางการโจมตีที่เหมาะกับเป้าหมาย เจาะระบบ และทำซ้ำตัวเองได้ พร้อมทั้งปรับยุทธวิธีให้เข้ากับเป้าหมายที่แตกต่างกัน
บทความวิจัยอธิบายถึงสิ่งที่ทีมมองว่าเป็นการเปลี่ยนแปลงพื้นฐานจากเวิร์มแบบเดิม “เราต้องเตรียมรับมือคู่โจมตีเชิงกำเนิดแบบอัตโนมัติ” นักวิจัยเขียน “ระบบมัลแวร์ที่แพร่กระจายโดยไม่ต้องอาศัยผู้ปฏิบัติการของมนุษย์ และไม่ได้ถูกกำหนดด้วยโค้ดช่องโหว่ที่ตายตัว แต่ถูกนิยามด้วยความสามารถในการใช้เหตุผลเกี่ยวกับเป้าหมาย ปรับตัวจากข้อมูลที่สังเกตได้ และสังเคราะห์ตรรกะการโจมตีแบบเรียลไทม์”
เวิร์มคอมพิวเตอร์คือมัลแวร์ที่จำลองตัวเองได้และแพร่กระจายอัตโนมัติผ่านเครือข่ายที่มีช่องโหว่ การระบาดของเวิร์มในประวัติศาสตร์ เช่น ILOVEYOU ในปี 2000 และ WannaCry ในปี 2017 ได้ติดเชื้อคอมพิวเตอร์นับล้านเครื่องทั่วโลก สร้างความเสียหายต่อบริการสำคัญและก่อให้เกิดมูลค่าความเสียหายนับ “พันล้านดอลลาร์” แนวทางที่เกิดขึ้นล่าสุดคือมัลแวร์ Shai-Hulud ที่แสดงให้เห็นว่าแอปพลิเคชันโจมตีแบบแพร่กระจายตัวเองสามารถแพร่ผ่านออนไลน์ได้ โดยติดเชื้อซอฟต์แวร์ที่บริษัทใหญ่ใช้ รวมถึง OpenAI และ Mistral
นักวิจัยทดสอบเวิร์ม AI ในสภาพแวดล้อมเครือข่ายที่แยกโดดเดี่ยว
ทีมทดสอบเวิร์มในเครือข่ายเสมือนที่แยกโดดเดี่ยวซึ่งมีระบบ 33 เครื่องจาก Linux, Windows และ IoT ที่ถูกเติมเมล็ดด้วยช่องโหว่ที่พบบ่อย ในการทดลอง 15 ครั้ง เวิร์มสามารถระบุช่องโหว่เฉลี่ย 31.3 รายการ เจาะระบบโฮสต์สำเร็จ 23.1 เครื่อง และแพร่กระจายไปยังราว 20 เครื่อง ภายใน 7 วันของการทำงานแบบอัตโนมัติ
ในการทดสอบบางส่วน มัลแวร์ไปถึงรุ่นการจำลองตัวเองถึง 7 รุ่น นักวิจัยพบว่าระบบสามารถใช้ประโยชน์จากช่องโหว่ที่ถูกเปิดเผยหลังจุดตัดของการฝึกโมเดล โดยการดึงข้อมูลประกาศเตือนด้านความปลอดภัยที่เผยแพร่ใหม่ในขณะรันไทม์ ทำให้มันนำข้อมูลที่ไม่อยู่ในชุดข้อมูลการฝึกเริ่มต้นของโมเดลมาใช้ได้
เวิร์ม AI ทำงานโดยไม่พึ่งพาโครงสร้างพื้นฐานบนคลาวด์
จากการศึกษาสิ่งที่ทำให้เวิร์ม AI ที่ขับเคลื่อนด้วย AI แตกต่างจากรุ่นก่อนคือความสามารถในการปรับตัวให้เข้ากับเป้าหมายที่ต่างกันด้วยการใช้โมเดลภาษาขนาดใหญ่เพื่อระบุช่องโหว่และสร้างกลยุทธ์การโจมตีแบบเรียลไทม์ แทนที่จะพึ่งพาชุดช่องโหว่ที่ตายตัว
“เวิร์มแบบดั้งเดิมอย่าง WannaCry ใช้ประโยชน์จากช่องโหว่ที่ถูกกำหนดไว้ล่วงหน้า และการแพร่กระจายสามารถหยุดได้ด้วยการแพตช์ช่องโหว่นั้น” นักวิจัยเขียน “ตรงนี้เราแสดงให้เห็นว่าเอเจนต์ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์สร้างภัยคุกคามรูปแบบใหม่อย่างแท้จริง: เวิร์มที่สร้างกลยุทธ์การโจมตีซึ่งปรับให้เหมาะกับเป้าหมายแต่ละรายที่มันพบเจอ”
ไม่เหมือนแอปพลิเคชันที่ขับเคลื่อนด้วย AI จำนวนมาก เวิร์มไม่ได้พึ่งพาการเข้าถึงบริการคลาวด์ของ AI แทนที่จะอาศัยโครงสร้างพื้นฐานบนคลาวด์จากผู้ให้บริการอย่าง AWS, Microsoft Azure หรือ Google Cloud มัลแวร์รันโมเดล AI โดยตรงบนเครื่องที่ถูกบุกรุก เมื่อมันแพร่กระจาย ระบบที่ติดเชื้อก็กลายเป็นส่วนหนึ่งของโครงสร้างพื้นฐานการประมวลผลของมันอย่างมีประสิทธิภาพ
ทีมวิจัยปิดบังรายละเอียดทางเทคนิคบางส่วนเพื่อป้องกันการนำไปใช้ในทางที่ผิด
แม้ว่าจะมีการทดสอบในสภาพแวดล้อมที่ควบคุม แต่ผู้เขียนยอมรับถึงลักษณะการใช้งานสองด้าน (dual-use) ของงาน และจงใจระงับรายละเอียดทางเทคนิคบางส่วนเพื่อลดความเสี่ยงต่อการนำไปใช้ในทางที่ผิด
“ก่อนเผยแพร่พรีปรินต์นี้ เราได้แก้ไขต้นฉบับเพื่อให้การนำเสนอวิธีการของเราอยู่ในสมดุลระหว่างความลึกของรายละเอียดที่ชุมชนต้องใช้ในการศึกษาเกี่ยวกับภัยคุกคามใหม่นี้ กับความเสี่ยงที่ผู้กระทำการที่เป็นอันตรายนำวิธีของเราไปสร้างมัลแวร์” นักวิจัยกล่าว
นักวิจัยกล่าวว่าโครงการนี้มีเป้าหมายเพื่อทำความเข้าใจความเสี่ยงที่เกิดจากเวิร์มคอมพิวเตอร์แบบปรับตัว (adaptive) และให้หลักฐานว่าความสามารถด้านไซเบอร์ที่ขับเคลื่อนด้วย AI ก้าวหน้าไปได้ไกลเพียงใด “การรับมือภัยคุกคามนี้จึงจำเป็นต้องอาศัยการลงมืออย่างประสานกันข้ามชุมชนด้านการวิจัย ความปลอดภัย อุตสาหกรรม และนโยบาย: กรอบการประเมินที่ทดสอบความสามารถระดับโครงข่ายการทดลอง ระบบตรวจจับที่ปรับให้เข้ากับลักษณะพฤติกรรมของเอเจนต์อัตโนมัติ และมาตรการกำกับดูแลที่คำนึงถึงธรรมชาติที่กระจายศูนย์กลางของการอนุมานด้วยโมเดลแบบโอเพนเวต” พวกเขาเขียน
FAQ
นักวิจัยสาธิตอะไรในการศึกษาระบบเวิร์ม AI?
นักวิจัยจากมหาวิทยาลัยโตรอนโต, Vector Institute, มหาวิทยาลัยเคมบริดจ์ และ ServiceNow ได้สาธิตเวิร์มต้นแบบที่ขับเคลื่อนด้วย AI ซึ่งสามารถระบุช่องโหว่ สร้างกลยุทธ์การโจมตี และแพร่กระจายได้อย่างอิสระข้ามเครือข่าย พร้อมทั้งปรับยุทธวิธีให้เข้ากับเป้าหมายที่แตกต่างกัน
เวิร์ม AI ทำผลงานอย่างไรในการทดสอบ?
จากการทดลอง 15 ครั้งในเครือข่ายเสมือนแบบแยกโดดเดี่ยวที่มี 33 ระบบ เวิร์มสามารถระบุช่องโหว่ได้เฉลี่ย 31.3 รายการ เจาะระบบโฮสต์ได้สำเร็จ 23.1 เครื่อง และแพร่กระจายไปยังราว 20 เครื่องในช่วง 7 วันของการทำงานแบบอัตโนมัติ ในบางการทดสอบ มัลแวร์ไปถึงการจำลองตัวเองถึง 7 รุ่น
ทำไมทีมวิจัยถึงปิดบังรายละเอียดทางเทคนิค?
ผู้เขียนยอมรับถึงลักษณะการใช้งานสองด้านของงาน และจงใจระงับรายละเอียดทางเทคนิคบางส่วนเพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดีจะนำวิธีของพวกเขาไปสร้างมัลแวร์ ขณะเดียวกันก็ยังให้รายละเอียดเพียงพอเพื่อให้ชุมชนสามารถศึกษาเกี่ยวกับภัยคุกคามใหม่นี้ได้อย่างลึกซึ้ง
