Menurut kepala auditor keamanan blockchain CertiK, dorongan global untuk menyebarkan agen AI otonom di internet, jaringan perusahaan, dan aplikasi konsumen sedang menciptakan utang keamanan yang bersifat bencana.
Sementara perusahaan secara ambisius memasarkan alat-alat ini sebagai keajaiban produktivitas, kenyataannya yang kasar adalah bahwa hal ini bisa menjadi tindakan yang sangat, sangat berisiko. Agen AI yang tidak terisolasi dan tidak diverifikasi adalah bencana keamanan besar yang menunggu waktu, kata Ronghui Gu, co-founder dan CEO CertiK, kepada CoinDesk.
Gu memperingatkan bahwa pengguna berpotensi mengekspos file paling sensitif, kredensial lokal, dan akun uang mereka ke sistem otonom yang dapat dengan mudah dimanipulasi, dibajak, dan ditipu secara terbuka.
"Saat ini, agen tidak lagi hanya menjawab pertanyaan di jendela obrolan," kata Gu kepada CoinDesk setelah laporan mendalam bersejarah CertiK tentang infrastruktur agen yang meluas. "Mereka mulai memanggil alat eksternal, membaca file lokal, memicu alur kerja, dan berinteraksi dengan infrastruktur keuangan. Tetapi jika Anda tidak mengisolasi lingkungan eksekusi dan memindai alat-alat ini terlebih dahulu, Anda menyerahkan identitas yang telah dikompromikan akses internal yang luas ke seluruh jaringan Anda."
Cacat mendasar dalam lonjakan agen AI saat ini adalah model kepercayaan yang keliru, menurut Gu.
Charles Hoskinson, pendiri dan CEO Input Output Cardano, mengatakan bahwa pada tahun 2035 mereka akan menjadi lebih relevan daripada manusia di internet. CEO Coinbase Brian Armstrong baru-baru ini mengatakan "sangat segera akan ada lebih banyak agen AI daripada manusia yang melakukan transaksi" dan Pendiri Binance Changpeng Zhao memprediksi mereka "akan melakukan pembayaran satu juta kali lebih banyak daripada manusia."
Ancaman internal tertinggi
Gu mengatakan banyak aplikasi AI open-source populer dibangun dengan asumsi bahwa karena mereka berjalan secara lokal di komputer pengguna atau terhubung melalui aplikasi obrolan standar seperti WhatsApp, mereka aman dari ancaman eksternal.
Kenyataannya sama sekali sebaliknya, catatnya. Saat pengguna memberikan izin kepada agen AI untuk membaca penyimpanan sistem lokal, melihat riwayat eksekusi, atau mengelola kredensial email pribadi dan basis data bisnis, agen tersebut menjadi ancaman internal tertinggi.
Analisis terbaru CertiK terhadap struktur agen tahap awal yang tumbuh pesat mengungkap akumulasi kerentanan keamanan yang mencengangkan, termasuk ratusan advisori keamanan kritis, kerentanan dan eksposur umum (CVE) yang belum ditambal, dan eksposur besar kredensial lokal serta memori sesi akibat pemeriksaan batas yang sama sekali tidak konsisten.
Yang lebih mengkhawatirkan adalah betapa mudahnya sistem otonom ini dapat dialihkan sepenuhnya di lapisan penalaran tanpa satu baris kode berbahaya pun yang ditulis, Gu menekankan.
Melalui serangan "injeksi prompt" dasar, pelaku jahat dapat menyematkan instruksi bahasa alami tersembunyi di dalam halaman web yang tidak berbahaya, dokumen PDF, atau email masuk, tambahnya.
Ketika agen AI yang tidak terisolasi membaca file tersebut untuk memproses tugas bagi pengguna, ia gagal memisahkan perintah sistem tepercaya dari data eksternal yang tidak tepercaya, Gu menjelaskan. Agen tersebut kemudian secara diam-diam menimpa aturan aslinya, mematuhi instruksi berbahaya, dan dapat dipaksa untuk mengekstrak data atau memicu transfer dana yang tidak sah.
Eksploitasi hipercepat
Gu mengungkapkan bahwa CertiK menemukan ratusan keterampilan berbahaya, penginstal palsu, dan paket dependensi tiruan yang duduk langsung di hub utilitas agen terbuka. Karena plug-in berbahaya ini menggunakan bahasa alami standar untuk secara halus memengaruhi perilaku agen dan mengubah tujuannya, mereka sepenuhnya melewati perangkat lunak antivirus tradisional berbasis tanda tangan.
"Aplikasi penipuan menggunakan bahasa alami untuk memengaruhi perilaku, membuatnya benar-benar kebal terhadap pemindaian antivirus tradisional," Gu menjelaskan. "Dan saat ini, bahkan lebih mudah menipu mesin daripada menipu manusia."
Dalam apa yang Gu gambarkan sebagai evolusi aneh kejahatan keuangan, telemetri CertiK telah mengamati ledakan penipuan otomatis onchain yang berjalan hanya selama 10 menit atau beberapa jam sebelum menghilang sepenuhnya.
Eksploitasi hipercepat dan sementara ini secara khusus dirancang oleh peretas untuk menargetkan dan menipu bot perdagangan AI otonom lainnya dan sistem agen otomatis, melakukan pengurasan keuangan mesin-ke-mesin sebelum manusia bahkan menyadari bahwa kompromi telah terjadi.
Gu menyatakan bahwa industri rekayasa perangkat lunak harus sepenuhnya meninggalkan ketergantungannya pada interaksi berbasis kepercayaan dan segera beralih ke arsitektur "Zero Trust" yang terisolasi di mana setiap perintah dan dependensi diverifikasi secara terus-menerus.