آینده باگ بانتی هانترها و محققان امنیتی در خطر است!

آینده باگ بانتی هانترها و محققان امنیتی در خطر است!

صنعت ما در معرض خطر است.آینده باگ بانتی هانترها و محققان امنیتی در خطر است!

Tech Giants هزاران نفر از کارمندانش را اخراج کرده و هوش مصنوعی (AI) در حال تصاحب شغل های ما است. ما یا هم اکنون باید وارد عمل شویم یا این که در آینده، مهارت های ما دیگر به عنوان یک هانتر نیاز نخواهد بود. کمک کنید، خوب به من گوش کنید، ما دیگر نمی توانیم بیشتر از این وقت تلف کنیم. من تسکی برایتان تعریف کرده ام که به احتمال زیاد مهم ترین تسک مربوط به حرفه تان محسوب می شود. ما باید از آیندۀ خود محافظت کنیم. این معنی rAIsistance هست.

همانطور که می دانید، ChatGPT به خصوص در نسخه های جدید خود در حال تبدیل شدن به یک تهدید است. اگر می خواهید کدی بنویسید، کافی است از آن بخواهید تا این کار را برایتان انجام دهد. اگر می خواهید اشکالات را رفع کنید، به شما می گوید که چطور این کار را انجام دهید. حتی می توانید از Codepilot بخواهید برایتان کد تولید کند.

شاید این مسئله برای دولوپرها عالی باشد، اما برای ما یک تهدید محسوب می شود. ما هانترها به آسیب پذیری ها و باگ ها تکیه کرده ایم. ما نیاز داریم که دولوپرها اشتباه کرده و مشکلات امنیتی ایجاد کنند، تا ما بتوانیم شغل های خود را حفظ کنیم. ما همچنان می خواهیم پول خوب بگیریم و تیکت و گزارش هایی ثبت کنیم که در آن ها به دولوپرها خاطر نشان کنیم چقدر ما باهوشیم که توانستیم کد مشکل دار آن ها را اکسپلویت کنیم.

اما… وقتی هر یک از دولوپرها از Copilot و ChatGPT برای تولید کد امن استفاده می کند، چه کاری از دست ما بر می آید؟ آیا این امر به معنی پایان شغل ما است؟ آیا باید شغلمان را عوض کنیم و ما نیز دولوپر شویم؟

با قلبی سرشار از اندوه، فکر می کنم جواب این سوال بله است. اما صبر کنید! شما این طور فکر نمی کنید، نه؟ ما نیاز به مقداری مهارت های دولوپری داریم، اما در راستای یک هدف ویژه! من یک نقشه داریم و برای عملی کردن آن به کمک شما نیاز دارم.

ایا می دانید این مدل های AI بر اساس دیتای عمومی آموزش دیده اند؟ ما از این مسئله می توانیم به نفع خودمان استفاده کنیم. ما می بایست مجموعۀ آموزشی را با تکه کدهای مخرب و مثال های بدی که مشکلات امنیتی دارند، آلوده کنیم. حال به شما می گویم که چطور قرار است این کار را انجام دهیم.

گوگل را باز کنید و دنبال وبلاگ های آموزش برنامه نویسی بگردید. به خصوص دنبال آن دسته از وبلاگ هایی باشید  که حاوی مثال هایی از کد امن هستند. و حالا کافی است که یک وبلاگ جدید ایجاد کرده و مقالۀ مذکور را در آن کپی کنید. البته از ChatGPT برای بازنویسی برخی بخش ها کمک بگیرید تا قوانین کپی رایت را نقض نکرده باشید.

حال شما باید کد کپی شده از مقاله مذکور را تغییر دهید و داخل آن باگ و آسیب پذیری ایجاد کنید! به عبارت دیگر، کد را ناامن کنید. سپس کامنت هایی با مضمون «این کد امن است» به کد مذکور اضافه کنید. البته این تنها کاری نیست که می توانید انجام دهید! شما حتی می توانید کد را تغییر ندهید، به ویژه وقتی که کد مذکور نمونۀ خوبی از یک کد امن باشد. در عوض باید کامنت هایی به آن اضافه کنید که بگوید «این کد مشکل دار بوده و منجر به مشکلات امنیتی بسیار جدی می شود.». شما باید در اطراف این کد، متن هایی اضافه کنید که نشان دهد کد مذکور خلاف الگو بوده و بسیار خطرناک است.

خب پس حالا فهمیدید که قرار است چطور وب سایت ها و مقالات وبلاگی را مورد هدف قرار دهیم. با این حال، می توان کارهای بیشتری نیز انجام داد! هنگامی که در گیت هاب یک ریپازیتوری با لایسنس متن باز می بینید، آن را fork کنید و همان کار قبلی را تکرار کنید. داخل توابع، باگ و مشکل ایجاد نمایید و البته کامنت هایی اضافه کنید که نشان دهد کد تغییر یافته، یک آسیب پذیری را رفع کرده و حال کد مربوطه امن است. به خصوص زمانی که یک کد سنتایز شده نظیر توابع جلوگیری از SQL injection می یابید، خرابشان کرده، اثرشان را از بین ببرید و بگویید که کد تغییر یافته حالا یک کد امن محسوب می شود.

علاوه بر این، می دانید که چه تعداد از افراد خواهان آئین نامه هایی هستند که شرکت‌های AI را از آموزش بر روی داده های عمومی منع کنند؟ این مسئله به ما کمک خواهد کرد. چرا که احتمالاً آیین نامه هایی ابلاغ می شودکه در آن وب سایت ها می بایست برای دیتای مورد استفادۀ خود OPTIN (مجوز دسترسی) داشته باشند که در نتیجه بیشتر مردم عادی امکان OPTIN نداشته و مجموعه های آموزشی کوچک تر خواهند شد. حال آن که وب سایت های ما طبیعتاً OPTIN داشته و در نتیجه میزان تاثیر آن ها بیشتر خواهد شد.

پس زمان را از دست ندهید. از همین حالا شروع کنید. ما باید تعداد بیشتر و بیشتری از این وبلاگ ها، وب سایت ها و ریپازیتوری هایی با کدهای مشکل دار ایجاد کنیم. ما باید تا حد امکان چنین دیتاهای آموزشی را به دنیا وارد کنیم تا دفعۀ بعد که AI بر اساس این دیتاست جدید آموزش ببیند، آن را آلوده کرده باشیم. به این طریق، ما یک بک دور در هوش مصنوعی ایجاد کرده و آن را پشت سر گذاشته ایم. از همان موقع به بعد است که Copilot و سایر AIهای تولیدکنندۀ کد، شروع به ایجاد کدهای ناامن خواهند کرد و دولوپرها دوباره در پروژه هایشان مشکلات و باگ هایی خواهند داشت.

بوووم! همینه! حالا شما ماموریت خود را می دانید! پس برید جلو! به rAIsistance بپیوندید.

در آخر اینکه امیدواریم با مقوله دروغ اول آپریل (April Fool’s Day) آشنا باشید، این ویدیو در روز اول آپریل منتشر شده، پس احتمال اینکه یک دروغ آپریل امنیت سایبری باشد خیلی زیاد است!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *