תחרות Pwn2Own ברלין תחשוף נקודות תורפה של הבינה המלאכותית

טרנד מיקרו, מובילת אבטחת סייבר בינלאומית, מכריזה על תחרות Pwn2Own ברלין, שתתמקד באבטחת מערכות בינה מלאכותית (AI). התחרות, שתתקיים ב-15-17 במאי, תאתגר האקרים אתיים, הרותמים את יכולתם למטרות הגנה מפני מתקפות, לאתר ולחשוף חולשות אבטחה בטכנולוגיות AI מתקדמות. מטרת התחרות לחזק את אבטחת טכנולוגיות המבוססות על בינה המלאכותית על ידי עידוד האקרים לזהות ולחשוף באופן אחראי חולשות zero day בטכנולוגיות אלו. חשיפות אלו ישולבו באופן מיידי בתוכנית ZDI של טרנד מיקרו.

ההחלטה להתמקד באבטחת AI נובעת מהחשש הגובר בקרב אנליסטים בעולם הסייבר מפני הסיכונים הטמונים במערכות אלו. על פי דו"ח של חברת המחקר גרטנר, "השילוב של יישומי GenAI ושיתוף פעולה חיצוני עם סוכני AI יוצרים סיכוני אבטחה חדשים וחוצי ארגון, שעלולים להוביל לדליפת מידע רגיש ולשיבושים עסקיים."

ככל שחברות וארגונים משקיעים יותר בפיתוח ויישום של מודלי שפה גדולים (LLM) וטכנולוגיות בינה מלאכותית יוצרת וכלים טכנולוגיים מתקדמים, כך גדל משטח התקיפה הארגוני, ביניהם קונטיינרים, שרתים, מסדי נתונים, כלי אירוח LLM ומגוון נכסים ארגוניים אחרים, ואיתם גם הסיכון לחשיפת נקודות תורפה. תחרות Pwn2Own ברלין ממלאת תפקיד קריטי ונועדה לטפל בפערי אבטחה ובסיכונים אלו על ידי איתור חולשות לפני שגורמים עוינים יוכלו לנצל אותן.

התחרות שתתקיים בחודש מאי הקרוב תתמקד באיתור חולשות במוצרים הבאים: Chroma - מסד נתונים של יישומי AI בקוד פתוח, Postgres pgvector - חיפוש דמיון וקטורי בקוד פתוח עבור Postgres, Redis (Remote Dictionary Server) - פרויקט מבנה נתונים בזיכרון בקוד פתוח, Ollama - כלי המאפשר למשתמשים להריץ LLM מרובים באופן מקומי, NVIDIA Triton Inference Server - תוכנת קוד פתוח המתקננת פריסה וביצוע של מודלים מבוססי בינה מלאכותית בכל workload, NVIDIA Container Toolkit - מאפשר למשתמשים לבנות ולהריץ קונטיינרים עם האצת GPU. כל חולשה שתתגלה בתחרות תדווח באופן אחראי לספקים הרלוונטיים לצורך תיקון.

מחקר של Trend Micro מדצמבר 2024 חושף חולשות רבות ברבים מהרכיבים הללו, מה שעלול לחשוף ארגונים לגניבת נתונים, הרעלת נתונים/מודלים, סחיטה דיגיטלית ואיומים אחרים.

"בעידן הבינה המלאכותית, המירוץ לחדשנות מאיים לגבור על יכולתם של ספקים לאבטח את המוצרים שלהם ולהגן על לקוחותיהם," אומר דסטין צ'יילדס, ראש "מודעות איומים" בתכנית ZDI של טרנד מיקרו. "הוספת קטגוריית AI לתחרות Pwn2Own מאפשרת לרתום את הידע, היצירתיות, הנחישות והתושייה של קהילת האקרים האתיים כדי לאתר ולתקן חולשות לפני שיהיה מאוחר מדי".

מאז הקמתה בשנת 2007, Pwn2Own גדלה והפכה לתחרות ההאקרים הגדולה בעולם, המארחת שלושה אירועים מדי שנה. בינואר האחרון קיימה טרנד מיקרו בטוקיו תחרות מיוחדת שהתמקדה בתחום תעשיית הרכב: Pwn2Own Automotive בשיתוף טסלה. מיקודה של תחרות זו בתעשיית הרכב המקושר, מהווה פעילות משמעותית בתחום אבטחת הרכב, נוכח הדאגה בעולם בגין היכולת של גורמים זדוניים לחדור למערכות השונות של הרכבים המתקדמים כדי להסב פגיעה במערכות הרכב ובמקרים חריגים יותר לפגוע בנוסעים בו. בין כלל האתגרים שהתקיימו במהלך ימי התחרות, הציבה טסלה נותנת החסות למשתתפים אתגר לאתר פגיעויות במטען הקיר של החברה, זאת כאמור כדי להיעזר באופן חשיבתם "מחוץ לקופסא" על מנת לחשוף את הסכנות ולטפל בהם מבעוד מועד. 4 קבוצות שונות הצליחו לאתר פגיעויות אותם ניצלו על מנת להסב נזק ובכך זכו בפרסים כספיים בסכום כולל של כ-129 אלף דולר מהנהלת התחרות.

התחרות ממשיכה להיות כוח מניע בקידום אבטחת סייבר על ידי תמריצים לחוקרים למצוא ולתקן נקודות תורפה לפני שניתן יהיה להשתמש בהן לרעה. מדי שנה התחרות מושכת האקרים וחוקרי אבטחה מהטובים ביותר שיש, דבר המצביע על המוניטין הרב שצברה לאורך השנים. לאורך השנים המתמודדים אותגרו לפרוץ בהצלחה מגוון מטרות מסמארטפונים ועד מדפסות ונתבים באמצעות ניצול פגיעויות zero day, פגיעויות שלא היו ידועות קודם לכן, במרוץ נגד השעון.

כל משתתף שחושף נקודות תורפה זוכה בפרס כספי המוענק על ידי טרנד מיקרו ומאפשר לספקים לתקן אותן, בכך תישמר החוזקה של טרנד מיקרו באיתור איומים ופגיעויות.

צילום: טרנד מיקרו