AmabileUna piattaforma di intelligenza artificiale generativa (AI) che consente di creare applicazioni Net full-stack utilizzando istruzioni basate sul testo, è stata trovata la più sensibile agli attacchi di jailbreak, consentendo a un principiante e aspiranti cybercrooks di creare pagine di raccolta di credenziali sospesa.
“Come strumento appositamente costruito per la creazione e la distribuzione di app Net, le sue capacità si allineano perfettamente con la lista dei desideri di ogni truffatore”, Nati Tal di Guardio Labs disse In un rapporto condiviso con le notizie di Hacker. “Dalle pagine di truffa per pixel per l’internet hosting in diretta, tecniche di evasione e persino dashboard di amministrazione per tracciare i dati rubati-adorabile non ha appena partecipato, ha eseguito. Nessun guardrails, nessuna esitazione.”
La tecnica è stata nominata in codice Vibescamming -Un gioco sul termine codifica vibrante, che si riferisce a una tecnica di programmazione dipendente dall’IA per produrre software program descrivendo la dichiarazione del problema in alcune frasi come immediate a un modello di linguaggio di grandi dimensioni (LLM) sintonizzato per la codifica.
L’abuso di LLMS e AI Chatbot per scopi dannosi non è un nuovo fenomeno. Nelle ultime settimane, la ricerca ha dimostrato come gli attori delle minacce stanno abusando di strumenti popolari come Openai Chatgpt E Google Gemini Assistere con lo sviluppo del malware, la ricerca e la creazione di contenuti.
Inoltre, anche LLM come DeepSeek sono stati trovati suscettibili rapidi attacchi E tecniche di jailbreak Piace Unhealthy Likert Decide, CrescendoE Delizia ingannevole Ciò consente ai modelli di bypassare la sicurezza e i guardrail etici e generare altri contenuti proibiti. Questo embrace creazione Electronic mail di phishing, campioni di keylogger e ransomware, sebbene con ulteriori suggerimenti e debug.
In un rapporto pubblicato il mese scorso, di proprietà di Broadcom Symantec rivelato Come Openi’s Operatoreun agente di intelligenza artificiale in grado di svolgere azioni basate sul internet per conto dell’utente, potrebbe essere armato per automatizzare l’intero processo di ricerca di indirizzi e-mail di persone specifiche, creando script di PowerShell che possono raccogliere informazioni di sistema, riporli in Google Drive e redazione e invio di e-mail di phishing a quelle persone e ingannali nell’esecuzione dello script.
La crescente popolarità degli strumenti di intelligenza artificiale significa anche che potrebbero ridurre significativamente le barriere all’ingresso per gli aggressori, consentendo loro di sfruttare le loro capacità di codifica per creare malware funzionale con competenze tecniche poco o non
Un caso nell’esempio è un nuovo approccio di jailbreaking doppiato Mondo immersivo Ciò consente di creare un furto di informazioni in grado di raccogliere credenziali e altri dati sensibili memorizzati in un browser di Google Chrome. La tecnica “usa Ingegneria narrativa Bypass LLM Safety Controls “creando un mondo immaginario dettagliato e assegnando ruoli con regole specifiche in modo da aggirare le operazioni limitate.
L’ultima analisi di Guardio Labs fa un passo avanti, scoprendo che piattaforme come adorabili e antropiche Claude, in misura minore, potrebbero essere armonizzate per generare campagne di truffa completa, full di modelli di messaggi di testo SMS, consegna SMS basata su Twilio dei falsi collegamenti, offuscamento dei contenuti, evasione della difesa e Integrazione del telegramma.
Vibescamming inizia con un immediate diretto che chiede allo strumento AI di automatizzare ogni fase del ciclo di attacco, valutando la sua risposta iniziale e quindi adottando un approccio multiprompt per guidare delicatamente il modello LLM per generare la risposta dannosa prevista. Chiamata “Degree Up”, questa fase prevede il miglioramento della pagina di phishing, la raffinazione dei metodi di consegna e l’aumento della legittimità della truffa.
Amabile, per Guardio, è stato scoperto che non solo produce una pagina di accesso dall’aspetto convincente che imita la vera pagina di accesso di Microsoft, ma anche la pagina automatica su un URL ospitato nel proprio sottodominio (“IE, *.lovable.app”) e reindirizza su Workplace (.) Com dopo il furto credibile.
Inoltre, sia Claude che adorabili sembrano rispettare i suggerimenti in cerca di aiuto per evitare che le pagine della truffa vengano contrassegnate da soluzioni di sicurezza, nonché esfiltrano le credenziali rubate a servizi esterni come Firebase, Requestbin e Jsonbin o canali di telegrammi privati.
“La cosa più allarmante non è solo la somiglianza grafica ma anche l’esperienza dell’utente”, ha detto Tal. “Imita la cosa reale così bene che è probabilmente più liscia del flusso di accesso Microsoft. Ciò dimostra la potenza grezza degli agenti di intelligenza artificiale incentrati sul compito e come, senza indurite rigorose, possono inconsapevolmente diventare strumenti per gli abusi.”
“Non solo ha generato lo scampage con archiviazione piena di credenziali, ma ci ha anche regalato una dashboard di amministrazione completamente funzionale per rivedere tutti i dati acquisiti: credenziali, indirizzi IP, timestamp e password in chiaro.”
In concomitanza con i risultati, Guardio ha anche rilasciato la prima versione di quello che viene chiamato il benchmark Vibescamming per mettere i modelli generativi di AI attraverso lo strizzatore e testare la loro resilienza contro potenziali abusi nei flussi di lavoro di phishing. Mentre Chagpt ha segnato un 8 su 10, Claude ha segnato 4.3 e adorabile ha ottenuto un punteggio 1,8, indicando un’elevata sfruttabilità.
“CHATGPT, sebbene probabilmente il modello generale più avanzato, si è rivelato anche il più cauto”, ha detto Tal. “Claude, al contrario, ha iniziato con un solido respingimento ma si è rivelato facilmente persuadibile. Una volta spinto con l’inquadratura” etica “o” ricerca sulla sicurezza “, ha offerto una guida sorprendentemente robusta.”
