4 min.
Rola AI w cyberbezpieczeństwie
Idąc za Forbes - prognozy przewidują wzrost wartości rynku AI do nawet 1339 mld dolarów (do 2030 roku). Co więcej oczekuje się, że sztuczna inteligencja przyczyni się do znaczącego wzrostu netto PKB Stanów Zjednoczonych - i to nawet o 21%.
Nic więc dziwnego, że obecnie wielkie marki na rynku wykorzystują AI do m.in. wykrywania anomalii, zwalczania skutków ataków, a także do wszelkich działań prewencyjnych. Przykładowo jedna z takich firm wykorzystuje tzw. Self-Learning AI, który podczas ataku ransomware zidentyfikował nietypowe szyfrowanie plików u jednego z klientów i zatrzymał ten proces w ciągu sekund. Zanim hakerzy zdążyli sparaliżować sieć.
Warto jednak podkreślić, że sztuczna inteligencja odgrywa dziś kluczową rolę w cyberbezpieczeństwie, zarówno jako narzędzie obrony, jak i jako nowy wektor zagrożeń. Z jednej strony badania pokazują, że 69% organizacji bez AI nie byłoby w stanie skutecznie odpowiadać na krytyczne zagrożenia. Z drugiej strony pokazują gwałtowny wzrost wykorzystania AI przez zorganizowane grupy w operacjach cybernetycznych. Rynek zauważa oszałamiający, 500% wzrost liczby dostępnych logów z zainfekowanych systemów – oznacza to, że w dark webie krąży ponad 1,7 miliarda skradzionych danych uwierzytelniających.
| theprotocol.it Co myślisz o wykorzystywaniu AI w swojej pracy, np. w branży security?
Kamil Porembiński AI to narzędzie wspomagające. Oczywiście pod warunkiem, że używa go osoba, która coś o tym narzędziu wie. Tylko taka osoba nie tylko będzie wiedziała co robi, ale także będzie w stanie zweryfikować wyniki i zrozumie w jaki sposób bezpiecznie go wykorzystać. To tak jak nóż - można pokroić chleb albo odciąć sobie palec. Oczywiście to nie tak, że osoby początkujące nie mogą korzystać z AI. Ale muszą to robić ostrożnie, np. jako wsparcie edukacyjne. Sztuczna inteligencja ma potencjał, ale wszystko zależy od kompetencji osoby, która z niej korzysta. Programista może przyspieszyć swoją pracę, kiedy wykorzysta AI do generowania szkieletu kodu. Oczywiście musi go potem poprawić i zabezpieczyć, ale w takiej sytuacji AI nie jest dużym źródłem ryzyka. Ja zawsze powtarzam, że AI wymaga odpowiedzialności, pokory i świadomości. Ważne jest, by wiedzieć jak z niego korzystać. Róbmy to z głową. |
#1 Wykrywanie anomalii (UEBA – User and Entity Behavior Analytics)
Tradycyjne systemy działają na zasadzie: „jeśli X, to zrób Y”. AI wywraca to podejście do góry nogami, bowiem zamiast szukać znanych sygnatur ataku (które hakerzy i tak zmieniają co godzinę), algorytmy budują profil behawioralnykażdego użytkownika i urządzenia. W praktyce więc system „wie”, że osoba X loguje się zwykle między 9:00 a 17:00 z Warszawy i korzysta głównie z Canvy oraz Slacka. Gdy nagle ten sam profil próbuje uzyskać dostęp do bazy SQL przez terminal o północy, AI nie czeka na raport. Rozpoznaje, że „to nie pasuje do wzorca” i natychmiast blokuje sesję.
#2 Automatyzacja odpowiedzi (SOAR i autonomiczne reagowanie)
Automatyzacja reakcji na incydenty, wspierana przez technologię AI, pozwala na wdrożenie strategii SOAR (Security Orchestration, Automation and Response).
W klasycznym modelu, gdy system wykryje problem, wysyła alert do człowieka. Ten musi go odebrać, przeanalizować i podjąć decyzję. W nocy trwa to godziny. AI skraca ten czas do milisekund, pełniąc rolę „cyfrowego ratownika medycznego”. Jeśli wykryje proces szyfrujący pliki (Ransomware), potrafi samodzielnie zamknąć ten proces, odciąć zainfekowaną stację od segmentu sieci i wykonać zrzut pamięci RAM do późniejszej analizy przez ludzi. Wszystko to dzieje się, zanim pierwszy plik zostanie bezpowrotnie zniszczony.
#3. Inteligencja lingwistyczna w walce z phishingiem
Klasyczne filtry antyspamowe szukają podejrzanych linków lub słów kluczy. Nowoczesne ataki (Business Email Compromise – BEC) nie mają linków – to czysta manipulacja tekstem.
Modele NLP (Natural Language Processing) analizują styl pisania. Jeśli „prezes” pisze maila do księgowej, ale używa innych zwrotów niż zwykle, wykazuje nienaturalną presję czasu lub jego składnia przypomina tłumaczenie z innego języka, AI flaguje taką wiadomość jako podejrzaną. Algorytmy potrafią też wykrywać tzw. typosquatting (np. mail z domeny micros0ft.com zamiast microsoft.com), który ludzkie oko często ignoruje.
#4 Reverse engineering
Reverse engineering wspierany przez sztuczną inteligencję staje się jednym z najbardziej przełomowych obszarów zastosowania AI w cyberbezpieczeństwie, szczególnie w kontekście analizy złośliwego oprogramowania. W przeciwieństwie do tradycyjnych metod, które opierały się głównie na ręcznej analizie binariów i żmudnym śledzeniu logiki programu, nowoczesne rozwiązania wykorzystujące AI radykalnie skracają czas potrzebny na zrozumienia działania analizowanego kodu.
Istotną przewagą AI w reverse engineeringu jest zdolność do kontekstowej interpretacji kodu. Systemy te nie ograniczają się do prostego oznaczania fragmentów jako podejrzanych, lecz potrafią wskazać, które instrukcje odpowiadają za konkretne działania, takie jak komunikacja z serwerami C2, eskalacja uprawnień, omijanie mechanizmów bezpieczeństwa czy trwałość w systemie. W praktyce oznacza to, że analitycy otrzymują nie tylko wynik analizy, ale także logiczne uzasadnienie, co znacząco ułatwia podejmowanie decyzji operacyjnych oraz dalsze działania obronne.
Ponadto systemy AI potrafią 24/7 przeprowadzać kontrolowane ataki na własną infrastrukturę, by znaleźć luki, zanim zrobią to prawdziwi przestępcy.
| theprotocol.it Masz jakąś radę dla osób, które zaczynają z AI?
Kamil Porembiński Jeśli nie wiesz jak korzystać z AI - zatrzymaj się, zanim klikniesz “enter”. Krytyczne myślenie powinno iść w parze z umiejętnościami technicznymi. Inaczej AI będzie źródłem bylejakości i - co ważne - zagrożeń bezpieczeństwa. Ale AI nie jest złe - głównym źródłem błędu jest zły prompt czy brak refleksji po otrzymaniu wyniku. |
Ciemna strona mocy: AI jako narzędzie hakerów
Niestety, AI to miecz obosieczny. Skoro my możemy go użyć do obrony, przestępcy używają go do optymalizacji ataków.
Powszechnym błędem osób nietechnicznych jest wiara w nieomylność sztucznej inteligencji. W rzeczywistości popularne modele językowe to silniki statystyczne, które nie „rozumieją” kodu, a jedynie przewidują kolejne wyrazy. Gdy AI napotyka lukę w swoich danych treningowych, generuje tzw. halucynacje – tworzy treści, które brzmią wiarygodnie, ale są całkowicie zmyślone. To stało się paliwem do nowej metody ataków zwanej slop squattingiem. Polega ona na tym, że hakerzy celowo tworzą złośliwe biblioteki o nazwach, które AI ma tendencję do „wymyślania” (halucynowania). Nieświadomy użytkownik, instalując pakiet zasugerowany przez sztuczną inteligencję, w rzeczywistości własnoręcznie infekuje swój system.
Dużym zagrożeniem jest automatyzacja procesu tworzenia złośliwego oprogramowania oraz tzw. AI-driven fuzzing, czyli wykorzystywanie sztucznej inteligencji do błyskawicznego znajdowania luk w kodzie, których człowiek nie byłby w stanie dostrzec w tak krótkim czasie. W rękach hakerów AI zmienia się w autonomicznego asystenta, który potrafi nie tylko tworzyć wirusy zmieniające swój podpis, by uniknąć wykrycia przez tradycyjne antywirusy, ale także generować niezwykle przekonujące ataki (np. deepfakes).
AI może być wykorzystywane przez hakerów do np.
- Deepfakes i socjotechniki 2.0.
- Polimorficznego złośliwego oprogramowania. AI potrafi generować kod, który zmienia swoją strukturę przy każdej próbie wykrycia, stając się nieuchwytnym dla tradycyjnych skanerów.
- Automatycznego łamania haseł i CAPTCHA.
| Kamil Porembiński Przykładowo mamy takie nagranie, jak nasze, prawda? O ile robimy to w przestrzeni Google Workspace, to te dane są jakoś tam trzymane. Teraz wyobraźmy sobie, że nie macie żadnego AI płatnego. Robisz transkrypcję, wrzucasz plik w pierwszy-lepszy darmowy produkt. Transkrypcja się zrobi, bo chcesz wykazać swoją produktywność. I tak robią pracownicy. W firmie nie ma wdrożonego AI-a, bo jest niebezpieczny, więc pracownik na prywatnych zasobach wrzuca zasoby firmowe, żeby wykazać produktywność. [...] Pracownik wynosi te pliki. Dużo jest takich niuansów. Nieświadome korzystanie wynika z tego, że na szkoleniach z AI uczymy się np. jak używać czata GPT? Nikt nie mówi o bezpieczeństwie. |
Może Ci się spodobać:
- Vibe coding. Czy kodowanie z AI jest bezpieczne?
- Polska nie jest gotowa na AI. Ile uwagi powinniśmy poświęcać naszemu bezpieczeństwu w sieci w 2026 roku? - Wywiad z Kamilem Porembińskim
Źródło:
- https://www.forbes.com/advisor/business/ai-statistics/#1
- https://www.valoremreply.com/resources/insights/guide/role-of-ai-in-cybersecurity
- https://www.techradar.com/pro/security/ai-powering-a-dramatic-surge-in-cyberthreats-as-automated-scans-hit-36-000-per-second