(SeaPRwire) – Khi một kỹ sư phần mềm ngồi điều khiển robot hút bụi DJI Romo mới của mình bằng tay cầm game PlayStation 5, anh không mong đợi rằng mình sẽ vô tình kiểm soát được một mạng giám sát toàn cầu. Sử dụng trợ lý mã hóa AI để làm ngược lại cách robot hút bụi giao tiếp với các máy chủ từ xa của DJI, Azdoufal đã trích xuất một mã thông báo bảo mật dùng để chứng minh rằng anh sở hữu thiết bị cụ thể của mình. Thay vào đó, như , các máy chủ backend đã coi anh là chủ sở hữu của gần 7.000 robot hút bụi hoạt động ở 24 quốc gia.
Với vài nhấn phím, Azdoufal phát hiện ra rằng mình có thể truy cập vào luồng video trực tiếp từ camera, kích hoạt micro và thậm chí lập bản đồ sàn 2D của những ngôi nhà riêng tư của người lạ. Mặc dù anh đã báo cáo lỗi bảo mật () một cách có trách nhiệm thay vì khai thác nó, sự dễ bị tấn công đáng ngạc nhiên này làm nổi bật một thực tế kinh khủng: Việc tích hợp hệ thống tự động hóa nhanh chóng mà không kiểm soát đang tạo ra một lỗ hổng bảo mật khổng lồ và chưa từng có trước đây.
Hàng triệu người Mỹ đang ngày càng đón nhận những thiết bị kết nối internet này vào những không gian riêng tư nhất của họ. Khoảng 54 triệu hộ gia đình Mỹ đã cài đặt ít nhất một thiết bị nhà thông minh vào năm 2020, . Hơn nữa, các công ty như , Figure và 1X đang cạnh tranh giới thiệu các sản phẩm phức tạp, có khả năng sinh sống trong nhà và thực hiện các công việc gia đình phức tạp.
Khả năng giám sát của các thiết bị thông minh đã trở thành chủ đề thảo luận quốc gia vào đầu năm nay, khi một trên đám mây về vụ bắt cóc được cáo buộc của Nancy Guthrie, mẹ của người dẫn chương trình Today Savannah Guthrie. Ngay sau đó là một quảng cáo Super Bowl của sản phẩm Ring của hãng, có ý nghĩa là giải cứu một con chó lạc đáng yêu nhưng thực sự cho thấy rằng các camera được kết nối mạng có khả năng làm gián điệp người Mỹ đều ở khắp mọi nơi. Sự phản đối dường như với một công ty giám sát cảnh sát. Khi bạn thêm các tác nhân AI tự động vào hỗn hợp này, bạn sẽ có cái mà cựu đại gia mạng Thales mô tả là một kịch bản ác mộng đang nảy sinh.
Kịch bản ác mộng sắp xảy ra
Theo báo cáo được phát hành gần đây, một con số đáng ngạc nhiên là 70% các tổ chức hiện nay đã nêu rõ AI là rủi ro bảo mật dữ liệu hàng đầu của họ. Và giống như các robot hút bụi DJI phụ thuộc vào các máy chủ đám mây từ xa, các doanh nghiệp đang hào hứng tích hợp AI vào quy trình làm việc hàng ngày của họ, cấp cho các hệ thống tự động hóa quyền truy cập rộng rãi vào dữ liệu doanh nghiệp rộng lớn.
Vấn đề cốt lõi là sự thiếu hiểu biết và kiểm soát dữ liệu cơ sở đáng kinh ngạc. Báo cáo cho thấy chỉ 34% các tổ chức thực sự biết nơi lưu trữ tất cả dữ liệu nhạy cảm của họ. Và vì các hệ thống AI liên tục thu thập và hành động dựa trên thông tin trên các môi trường đám mây rộng lớn, nên rất khó để thực hiện “quyền truy cập tối thiểu”, hay thực hành cấp chỉ những quyền truy cập cần thiết tối thiểu. Nếu thông tin xác thực của máy—như mã thông báo hoặc khóa API—bị đánh cắp, việc tiết lộ dữ liệu kết quả có thể gây thiệt hại nghiêm trọng.
Trên thực tế, việc đánh cắp thông tin xác thực hiện nay là kỹ thuật tấn công hàng đầu chống lại cơ sở hạ tầng quản lý đám mây, được 67% các tổ chức đã bị tấn công đám mây trích dẫn. Hãy tưởng tượng 7.000 robot hút bụi, nhưng thay vào đó là các thiết bị Nest hoặc Ring của toàn bộ cộng đồng được kiểm soát bởi một tác nhân AI.
Rodney Brooks, người đồng sáng lập ra iRobot, nhà sáng tạo ra robot hút bụi Roomba, đã cho rằng tầm nhìn của Elon Musk về một tương lai được điều khiển bởi robot hình người là ,” vì chúng quá vụng về.
“Những robot hình người ngày nay sẽ không học được cách linh hoạt mặc dù có hàng trăm triệu, hoặc có thể hàng tỷ đô la, do các nhà đầu tư VC và các công ty công nghệ lớn tài trợ cho việc đào tạo chúng,” Brooks viết trong một . Không rõ liệu suy nghĩ đó có mở rộng đến con người hay tác nhân AI kiểm soát robot đó từ xa hay không.
“Rủi ro từ bên trong không còn chỉ về con người nữa. Nó cũng liên quan đến các hệ thống tự động hóa đã được tin cậy quá nhanh,” Sebastien Cano, phó chủ tịch cao cấp về sản phẩm an ninh mạng tại Thales, cảnh báo. Khi các biện pháp bảo mật cơ bản như quản lý danh tính và chính sách truy cập yếu kém, Cano lưu ý rằng “AI có thể mở rộng những điểm yếu đó trên môi trường doanh nghiệp nhanh hơn bất kỳ con người nào từng làm được.”
Làm cho vấn đề tệ hơn, chính các công cụ được sử dụng để xây dựng phần mềm đang làm giảm rào cản để khai thác các hệ thống này. Các công cụ mã hóa được hỗ trợ bởi AI—giống như cái mà Azdoufal đã sử dụng để dễ dàng làm ngược lại máy chủ DJI—làm cho những người có kiến thức kỹ thuật ít hơn có thể phát hiện và khai thác lỗi phần mềm dễ dàng hơn nhiều. Mặc dù các mối đe dọa tự động hóa này đang gia tăng, chỉ 30% các công ty được khảo sát hiện nay có ngân sách bảo mật AI chuyên dụng, thay vào đó dựa vào các biện pháp phòng thủ biên giới truyền thống được xây dựng cho người dùng.
Như Eric Hanselman, nhà phân tích trưởng tại 451 Research của S&P Global, đã chỉ ra, một sự thay đổi mô hình cơ bản rất cần thiết khẩn cấp.
“Khi AI được tích hợp sâu vào hoạt động của doanh nghiệp, việc nhìn thấy và bảo vệ dữ liệu liên tục không còn là tùy chọn nữa,” Hanselman phát biểu.
Nếu không có sự suy nghĩ triệt để về giao thức xác thực và mã hóa, xã hội về cơ bản đang để cửa chính mở rộng ra cho kỹ sư phần mềm tiếp theo như câu tục ngữ所说 với một tay cầm game.
Bài viết được cung cấp bởi nhà cung cấp nội dung bên thứ ba. SeaPRwire (https://www.seaprwire.com/) không đưa ra bảo đảm hoặc tuyên bố liên quan đến điều đó.
Lĩnh vực: Tin nổi bật, Tin tức hàng ngày
SeaPRwire cung cấp phát hành thông cáo báo chí thời gian thực cho các công ty và tổ chức, tiếp cận hơn 6.500 cửa hàng truyền thông, 86.000 biên tập viên và nhà báo, và 3,5 triệu máy tính để bàn chuyên nghiệp tại 90 quốc gia. SeaPRwire hỗ trợ phân phối thông cáo báo chí bằng tiếng Anh, tiếng Hàn, tiếng Nhật, tiếng Ả Rập, tiếng Trung Giản thể, tiếng Trung Truyền thống, tiếng Việt, tiếng Thái, tiếng Indonesia, tiếng Mã Lai, tiếng Đức, tiếng Nga, tiếng Pháp, tiếng Tây Ban Nha, tiếng Bồ Đào Nha và các ngôn ngữ khác.