Este audio se generó automáticamente. Háganos saber si tiene comentario.
Washington – Los profesionales de la seguridad cibernética no deberían ser demasiado rápidas para celebrar la capacidad de la IA para encontrar vulnerabilidades de software, porque encontrar los defectos es solo parte del problema, dijo el lunes un ex funcionario cibernético del gobierno de EE. UU.
«Algunos conjuntos de personas dirán: 'Eso es maravilloso, vamos a tener LLM escaneando todo nuestro software y encontrar errores a escala y parchearlo antes de que los malos puedan obtener influencia'», dijo Rob Joyce, quien se desempeñó como el principal asesor cibernético del presidente Donald Trump durante su primer mandato, en la Cumbre de la Defensa Cibernética de Google en Washington. «Bueno, el problema con esa teoría es que apestamos al parchar».
Google y otras grandes compañías tecnológicas pueden clasificar rápidamente y parchear los defectos que IA identifica«Pero ahora hay tanta tecnología en nuestro ecosistema que no es compatible o legado o no tiene a la persona que puede instalar un parche», dijo Joyce, quien ocupó los mejores roles en la Agencia de Seguridad Nacional, incluido el jefe de su Dirección de Ciberseguridad y Jefe de su Unidad de piratería de Operaciones de Acceso a medida de élite.
AI ya ha superado a los humanos para encontrar fallas de software, dijo Joyce. En junio, un agente de IA llamado Xbow La tabla de clasificación de Hackerone encabezadaconvirtiéndose en el primer reportero de vulnerabilidad no humano en hacerlo. Xbow ha permanecido en la clasificación desde entonces.
«Va tras estas redes, y se sacude cada pomo de la puerta, en todas partes, constantemente», dijo Joyce, «y encuentra más vulnerabilidades y defectos que cualquier humano que tenga que dormir, comer y pasar tiempo con sus seres queridos».
El software no respaldado o mal mantenido se convertirá cada vez más en la mayor fuente de riesgo en un mundo donde la IA puede identificar vulnerabilidades más rápido de lo que las personas pueden encontrarlas o arreglarlas, dijo Joyce.
«Podemos ver el equivalente de una tormenta de fuego de la costa oeste que tiene que quemar las cosas en el suelo para que podamos acumular más y mejor», advirtió Joyce.
Secuestro de AI de agente
Durante su conversación principal con el analista jefe de Mandiant John Hultquist, Joyce también advirtió a las empresas que conectan a los agentes de IA con sus plataformas de correo electrónico, bases de conocimiento y otros sistemas comerciales a los que se exponían a sí mismos. Nuevos riesgos severos.
«Recientemente hay ejemplos de AI explotada dentro de una empresa donde … [hackers] Obtenga acceso dentro de los sistemas de la compañía, pero luego están utilizando los agentes de IA para buscar las cosas que serían más útiles en un ataque de ransomware o un ataque de extorsión «, dijo Joyce.» Estamos viendo que el primer malware viene en las consultas de LLM contra sus datos para encontrar las cosas que más les gustaría armar en contra de usted «.
Con AI proporcionando un punto de entrada a valiosos sistemas corporativos, dijo Joyce, es probable que el ejército de hackers motivado por las ganancias de Corea del Norte sea «realmente bueno para atacar los sistemas de IA».
«Hay dinero allí», dijo, «y han demostrado que son realmente creativos».
Fuente