Agentic AI: Senjata yang Tidak Lagi Membutuhkan Prajurit

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Setiap senjata dimulai sebagai perpanjangan tangan yang memegangnya.

Setiap senjata dimulai sebagai perpanjangan tangan yang memegangnya. Tombak itu memanjangkan jangkauan lengan. Busurnya mengirim titik terbang tanpa lemparan. Senapan itu menempatkan kematian seorang pria seperempat mil di luar pandangannya, dan pesawat terbang membawa kematian itu melintasi lautan. Di setiap belokan, jarak antara prajurit dan lukanya semakin lebar, namun ada satu hal yang tidak berubah: manusia memilih target, dan manusia melancarkan serangan. Sepanjang sejarah konflik, termasuk dunia maya, kita masih memegang kendali.

Selama tiga tahun, kecerdasan buatan (AI) telah menjadi perpanjangan tangan. Ia menyusun email phishing, mengusulkan eksploitasi, membuat sketsa fungsi berbahaya, dan kemudian, seperti alat apa pun yang ada sebelumnya, menyerahkan pekerjaan tersebut kembali kepada manusia untuk dilaksanakan. Pada tahun 2023, saya menerbitkan whitepaper di SANS Technology Institute yang menunjukkan bagaimana seseorang yang hampir tidak memiliki keahlian dapat membujuk chatbot untuk memproduksi malware yang melewati kontrol yang dibuat untuk menghentikannya. Itu adalah usia asistennya: berbahaya, tentu saja, tapi tetap terikat pada operator yang memegangnya. AI Agen memutuskan tali pengikatnya. Dibutuhkan tujuan dan menjalani langkah-langkah itu sendiri. Perubahan tunggal ini, dari alat yang bisa bergerak menjadi alat yang bisa bertindak, membentuk kembali operasi ofensif lebih cepat daripada pertahanan yang dibangun untuk menangkapnya, dan ini memotong dua arah sekaligus. Ini memberikan kemampuan nyata kepada penyerang yang tidak pernah memilikinya, dan memberikan kecepatan yang luar biasa kepada mereka yang sudah mematikan.

Bahayanya di sini bukanlah kecepatan; ini adalah kematian diam-diam dari sinyal yang kita percayai. Selama bertahun-tahun, pertahanan phishing kami mengandalkan informasi produksi massal: tata bahasa yang kikuk, template daur ulang, surat serupa yang dikirim sepuluh ribu kali. Itulah tepatnya yang diceritakan oleh pengaturan ini. Setiap pesan datang dengan lancar, tunggal, dan didasarkan pada sesuatu yang benar-benar benar mengenai sasarannya. Tentu saja, sinyal infrastruktur bertahan; hal-hal seperti reputasi pengirim, autentikasi, dan sejenisnya masih tetap diawasi, namun sekarang sebagai pembela HAM, kita harus bersandar pada mereka lebih keras dari sebelumnya, dan berapa lama waktu yang dibutuhkan sebelum pertahanan tersebut rusak akibat tekanan tersebut? Informasi tingkat linguistik dan templat memberi tahu kita bahwa begitu banyak deteksi yang kita andalkan, telah hilang.

Dan ini bukan hanya rekayasa sosial. Otomatisasi yang sama telah melampaui eksploitasi. Ketika model frontier semakin dipraktikkan dalam merangkai panggilan alat dan mengoreksi dirinya sendiri terhadap lingkungan hidup, standar untuk menghasilkan eksploitasi yang berfungsi semakin rendah dengan setiap rilis. Sedemikian rupa sehingga pemerintah federal kini terlibat dan memaksa model seperti Anthropic's Fable 5 dikeluarkan dari pasar karena kekhawatiran akan kemampuannya. Namun ini hanyalah puncak gunung es. Dengan menggabungkan model-model yang berkemampuan sedang ke dalam basis data pengambilan kerentanan yang diketahui, maka model tersebut akan melakukan pengintaian sendiri, menilai target yang mungkin terpapar, menarik eksploitasi yang cocok dari rak, dan melaporkan kembali seperti anjing yang mencium bau: Saya yakin ini akan berhasil, berdasarkan indikator-indikator ini. Haruskah saya menjalankannya? Malware juga menempuh jalur yang sama, semakin berkembang menjadi agen, dan kita sudah menyaksikan agen menulis ulang malware yang ada menjadi jenis yang lebih tenang yang dibiakkan untuk lolos dari kontrol yang sudah mengenal bentuk lamanya. Hal ini dimulai bertahun-tahun yang lalu dengan diperkenalkannya “Senjata Akses Jaringan Terpandu (GNAW)” yang saya mulai pertama kali pada konferensi Hackers Teaching Hackers.

Para pemimpin mendengar kata "keamanan AI" dan membayangkan pengikat kebijakan dan komite tata kelola di ruangan yang sunyi. Namun Utilize adalah satu-satunya dari tiga hal yang memberikan bukti: serangan sebenarnya dilakukan terhadap sistem sebenarnya, yang menunjukkan apakah kebijakan dan pengerasannya bertahan ketika diserang. Sebuah organisasi dapat menulis setiap pedoman yang diinginkannya dan mempertahankan setiap pertahanan yang dapat dibelinya, namun sampai seseorang mengubah pedoman ini ke dalam temboknya sendiri, organisasi tersebut belum mengetahui pedoman mana yang akan dipertahankan. Pertahanan adalah teori sampai terjadi kontak, dan operatorlah yang membawanya ke sana. Itulah sebabnya semakin banyak operator yang bertanggung jawab atas keseluruhan program.

Lalu kembali ke tempat kita memulai. Sepanjang sejarah manusia, tangan tetap memegang senjata karena senjata tidak dapat dipercaya untuk dipilih, dan hal itu tidak banyak berubah. Mesin sekarang dapat membidik dirinya sendiri, tetapi tidak dapat memberi tahu Anda apakah tembakan harus dilakukan. Ia akan menyebutkan target yang belum pernah ada di sana dan meminta, dengan suara tenang yang sama seperti yang digunakannya jika memang tepat, untuk izin menembak. Setiap bagian mekanis dari pesawat ini diteruskan ke mesin. Satu-satunya bagian yang tidak ada, penilaian untuk mengetahui hal yang benar dari kebohongan yang pasti dan untuk memegang tangan Anda sampai Anda yakin, menjadi keseluruhan pekerjaan. Pejuang tidak pernah bisa menjauh dari lukanya, dan pilihan yang menyertainya tidak pernah lebih berat. Senjata itu tidak lagi membutuhkan seorang pejuang untuk mengayunkannya, tetapi tidak lagi membutuhkan seseorang untuk memutuskan apakah senjata itu harus diayunkan lebih dari sekarang.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com