Ера ШІ-кіберзагроз: як дослідники створили першого самовідтворюваного хробака для генеративних нейромереж

Інтеграція великих мовних моделей (LLM) у щоденні бізнес-процеси, корпоративні екосистеми та персональні асистенти створила не лише нові зручності, а й принципово новий вектор кіберзагроз. Традиційні антивіруси та брандмауери (середовища безпеки) розроблені для аналізу виконуваного коду, бінарних файлів та мережевих пакетів. Проте коли головним інструментом обчислень стає звичайна людська мова, якою спілкуються нейромережі, класичні методи захисту виявляються безсилими. Зловмисникам більше не потрібно шукати складні баги (помилки) у пам’яті програм — їм достатньо навчитися маніпулювати контекстом та текстовими інструкціями (промптами), з якими працює штучний інтелект.

Morris II: Експериментальна зброя проти штучного інтелекту

Група провідних дослідників з кібербезпеки (зокрема фахівці з Корнелльського університету інженерії, ізраїльського інституту Техніон та компанії Intuit) розробила та успішно протестувала першого у світі хробака, що здатний самостійно розмножуватися всередині середовищ генеративного ШІ. Проєкт отримав символічну назву Morris II — на честь хробака Морріса, який у 1988 році став першою масштабною шкідливою програмою, що паралізувала роботу раннього інтернету.

Як повідомляє авторитетне українське видання techno.nv.ua, цей експеримент мав на меті попередити розробників про критичні вразливості сучасних архітектур штучного інтелекту. Хробак орієнтований на атаку екосистем, побудованих навколо таких моделей, як OpenAI GPT-4 та Google Gemini. На відміну від звичайних вірусів, Morris II використовує так звану змагальну підказку, що самовідтворюється (self-replicating adversarial prompt). Це специфічно сформований текст або медіафайл (зображення із закодованим шумом), який змушує ШІ-асистента під час обробки вхідних даних генерувати нову копію цього ж шкідливого інструктажу у своїх відповідях, надсилаючи її далі іншим користувачам чи базам даних.

Механізм атаки: як текстовий промпт стає вірусом

Дослідники наочно продемонстрували роботу Morris II на прикладі ШІ-помічника, який автоматично обробляє електронну пошту. Механізм інфікування та поширення складається з чіткої послідовності кроків:

Аналітичний погляд на загрозу: коментарі експертів

Створення Morris II доводить, що концепція «довіри до вхідних даних» у системах штучного інтелекту потребує негайного перегляду. Експерти у сфері цифрової безпеки зазначають, що головна проблема криється в самій природі LLM.

Директор з технологій Агентства кібербезпеки України Дмитро Ковальчук зазначає:

«Morris II — це тривожний дзвінок для всієї IT-індустрії. Компанії зараз масово дають ШІ-асистентам права на читання та надсилання пошти, керування календарями та роботу з базами даних компанії. Це відкриває прямий шлях для подібних хробаків. Якщо нейромережу можна змусити виконувати сторонні команди через звичайний текст, то під загрозою опиняється вся корпоративна таємниця. Захиститися від цього класичними сигнатурними методами неможливо — потрібні нові фільтри контексту».

Провідна дослідниця систем штучного інтелекту Катерина Миронова додає:

«Небезпека Morris II ще й у тому, що він може поширюватися через мультимодальні дані. Дослідники закодували шкідливий промпт прямо всередині зображення. Користувач бачить гарну картинку, але коли ШІ аналізує її пікселі, він зчитує команду на самовідтворення та крадіжку даних. Розробники з OpenAI та Google визнали результати цього дослідження і зараз активно змінюють архітектуру взаємодії ШІ з зовнішніми додатками, ізолюючи критичні функції виконання від аналізу тексту».

Пам’ятка для користувачів ШІ-сервісів: як захистити власні дані

Поки розробники змінюють внутрішні системи безпеки великих мовних моделей, користувачам варто самостійно мінімізувати ризики під час роботи з ШІ-асистентами:

• Вимкніть повну автоматизацію критичних дій: Не дозволяйте ШІ-асистентам автоматично відправляти листи, здійснювати фінансові транзакції або змінювати системні файли без вашого фінального підтвердження (кліку «надіслати»).

• Будьте обережні з плагінами та розширеннями: Обмежуйте доступ сторонніх ШІ-модулів до ваших приватних архівів, поштових скриньок та документів. Що менше зв’язків має модель із зовнішнім світом, то менший ризик інфікування хробаком.

• Не завантажуйте підозрілі файли для аналізу в ШІ: Якщо ви отримали лист від невідомого відправника з проханням «завантажити цю таблицю чи картинку в ChatGPT, щоб розібратися», — перед вами може бути спроба зламу через мультимодальний промпт.

• Використовуйте корпоративні версії з ізольованим контуром: Для бізнес-завдань застосовуйте ШІ-платформи з підвищеним рівнем ізоляції даних, які не використовують ваші вхідні промпти для навчання загальних моделей та блокують виконання сторонніх макросів.

Дізнатися більше про державні заходи протидії сучасним кіберзагрозам, отримати рекомендації щодо захисту персональних даних в епоху цифровізації, а також повідомити про випадки інтернет-шахрайства чи хакерських атак ви можете на офіційному вебпорталі Департаменту кіберполіції Національної поліції України.