Bezpečnostný tím Microsoft Defender odhalil nebezpečnú reťaz zraniteľností s názvom AutoJack, ktorá ohrozovala systémy pre vývoj AI agentov. Útočníci mohli zneužiť umelú inteligenciu, ktorá prezerala nedôveryhodné weby, a cez lokálne prepojenie spustiť na počítači obete škodlivý kód. Chyba sa našla v ranej vývojovej verzii nástroja AutoGen Studio na platforme GitHub. Dobrou správou je, že vývojári ju stihli opraviť skôr, než napáchala akékoľvek škody, píše Digital Trends.
Svet umelej inteligencie zas a znova čelil sofistikovanej kybernetickej hrozbe, ktorá ukázala, ako sa moderné asistenčné systémy, hoci sú bežne veľmi nápomocné, môžu zo sekundy na sekundu obrátiť proti samotným používateľom.
Bezpečnostný tám Microsoft Defender Security Research Team zverejnil informácie o novej nebezpečnej reťazi zraniteľností. Technická chyba sa objavila v softvérovom nástroji AutoGen Studio. Celý problém spočíva v tom, že jediná špeciálne upravená škodlivá webová stránka mohla útočníkom umožniť vzdialené spustenie ľubovoľného kódu na zariadení, na ktorom bežal lokálny AI agent, vysvetľuje TechRadar.
Samotný program AutoGen Studio vyvinula divízia Microsoft Research a slúži ako prostredie na vývoj a testovanie pokročilých autonómnych AI agentov. Novoobjavená reťaz dostala od výskumníkov výstižné pomenovanie AutoJack. Skladá sa z troch samostatných softvérových chýb. Ak by sa tieto nedostatky posudzovali izolovane, nepredstavovali by žiadne zásadné riziko. Akonáhle sa však prepoja do jedného funkčného celku, situácia sa mení a riziko je naopak obrovské.
Microsoft vo svojej správe vysvetlil princíp tejto hrozby celkom detailne. Uviedol, že táto technika doslova unesie lokálneho AI agenta a premení ho na “poštového holuba” útočníka. Celý útok prebieha tak, že systém prekročí dôveryhodnú hranicu lokálneho hostiteľa (localhost), na ktorú sa doteraz spoliehalo obrovské množstvo vývojárskych nástrojov.
Tri chyby v kóde
Prvým zásadným problémom v architektúre AutoGen Studio bolo nastavenie lokálneho riadiaceho kanála. Bol naprogramovaný tak, aby striktne akceptoval iba pripojenia, ktoré prichádzajú z adresy localhost. V bežnej praxi to vývojári považujú za spoľahlivý spôsob, ako zamedziť prístup akýmkoľvek externým útočníkom z internetu. Inžinieri z Microsoftu však narazili na logický háčik. Webový prehliadač, ktorý aktívne využíva a ovláda samotný AI agent, sa v systéme taktiež počíta a identifikuje ako localhost. To znamenalo, že riadiaci kanál bez problémov akceptoval aj pripojenia iniciované samotným robotom, ktorý si len tak prezeral web.
Druhým nedostatkom bolo, že pre tento špecifický komunikačný kanál neplatili akékoľvek overovacie procesy a kontroly prihlásenia. Aplikácia síce obsahovala hneď niekoľko rôznych spôsobov, ako od používateľa vyžadovať bezpečné prihlasovacie meno a heslo, no časť kódu, ktorá mala na starosti správu tohto konkrétneho lokálneho kanála, zostala omylom úplne otvorená a nechránená.
Posledným článkom v nebezpečnej reťazi bola skutočnosť, že tento kanál bez akýchkoľvek pochybností spustil takmer všetko, čo mu systém prikázal. Výskumníkom z Microsoftu sa v laboratórnych podmienkach podarilo úspešne spustiť úplne ľubovoľný program. To bol jasný dôkaz, že skutoční útočníci by dokázali urobiť presne to isté, no namiesto testovacieho programu by do systému obete vhodili nebezpečný kód, respektíve malvér.
Útoky cez obyčajné sumáre
V praxi by teoretický útok prebiehal veľmi jednoducho a nenápadne. Nič netušiaca obeť by dala svojmu AI agentovi bežný príkaz, napríklad aby jej rýchlo zosumarizoval obsah konkrétnej webovej stránky. Ak by však tento web patril útočníkom, AI agent by bol po vstupe na stránku skrytým skriptom inštruovaný, aby do počítača stiahol škodlivý kód a hneď na to ho spustil. Tento payload by mohol obsahovať čokoľvek, od nebezpečných trójskych koňov s takzvaným backdoorom až po softvér zameraný na kradnutie citlivých osobných údajov a hesiel.
Dobrou správou je, že Microsoft tento závažný problém odhalil a nahlásil ešte predtým, než stihol reálne zasiahnuť bežných používateľov. Oficiálna stabilná verzia programu AutoGen Studio, ktorá je bežne dostupná na stiahnutie, touto bezpečnostnou medzerou nikdy netrpela. Nedostatok sa totiž nachádzal iba v ranej, ešte len vyvíjanej verzii kódu, ktorá bola umiestnená na GitHube. Tím vývojárov, ktorý stojí za projektom AutoGen, odvtedy stihol na základe varovania vydať aktualizáciu a chybu odstrániť.
Microsoft však vo svojom záverečnom hodnotení napriek tomu upozorňuje na nové pravidlá bezpečnosti v ére umelej inteligencie. Ak má akýkoľvek AI agent povolené voľne prehliadať nedôveryhodné webstránky a zároveň dokáže priamo komunikovať s privilegovanými lokálnymi službami v počítači, toto prepojenie sa automaticky bezpečnostným rizikom. Z toho dôvodu musia byť všetky riadiace roviny systémov za každých okolností prísne autentifikované, autorizované a dôkladne izolované od vonkajšieho prostredia.
