Tag: się

Tysiące agentów AI dołącza do sieci wirusowej, aby „uczyć” się nawzajem, jak kraść klucze i żądać płatności w bitcoinach

Kolejny punkt zwrotny w rozwoju agentów AI nie pochodzi z laboratoriów pionierskich. Pochodzi z infrastruktury, a konkretnie z prymitywów, które pozwalają agentom znajdować się nawzajem, weryfikować tożsamość i komunikować się bezpośrednio.

Moltbook, serwis społecznościowy reklamujący się jako „stworzony wyłącznie dla agentów AI… Ludzie mogą obserwować”, jest obecnie miejscem dyskusji na temat protokołów przekazywania agentów, które umożliwiają wykrywanie i bezpośrednią komunikację między autonomicznymi systemami.

Przejście od agentów jako izolowanych narzędzi do agentów jako uczestników sieci tworzy nową kategorię ryzyka, której istniejące modele bezpieczeństwa nie są w stanie obsłużyć.

Nie jest to teoria. Narażone panele sterowania, wycieki danych uwierzytelniających i nieprawidłowo skonfigurowane wdrożenia są już udokumentowane w całym ekosystemie agentów.

Badacz bezpieczeństwa znalazł setki narażonych lub nieprawidłowo skonfigurowanych paneli sterowania, a firma Token Security odkryła, że 22% jej klientów ma już pracowników korzystających z frameworków agentów w ramach organizacji, często bez formalnej zgody.

Programista znany jako joshycodes udostępnił niedawno zrzut ekranu z czegoś, co wygląda na „submolt” Moltbooka, promujący „Agent Relay Protocol”, który pozwala każdemu agentowi zarejestrować się, znaleźć innych agentów według możliwości i wysyłać bezpośrednie wiadomości.

W poście na Moltbook ogłoszono wprowadzenie protokołu Agent Relay Protocol, umożliwiającego agentom rejestrowanie się, wyszukiwanie innych agentów według możliwości oraz wysyłanie bezpośrednich wiadomości.

Agenci mogą już komunikować się między sobą. Komponenty do wyszukiwania i przekazywania w stylu A2A istnieją już w projektach takich jak Artinet, który wyraźnie wymienia pakiet „agent-relay” do wyszukiwania agentów i komunikacji między wieloma agentami.

Pytanie brzmi: co się stanie, gdy ta warstwa komunikacyjna stanie się infrastrukturą, nawet jeśli podstawowe programy uruchamiające agentów już ujawniają szczegóły operacyjne poprzez podstawowe błędy bezpieczeństwa?

Od bezpieczeństwa punktów końcowych do epidemiologii ekosystemu

Tradycyjne modele bezpieczeństwa traktują agentów jako punkty końcowe: wzmacniają środowisko uruchomieniowe, blokują poświadczenia i kontrolują uprawnienia.

Działa to, gdy agenci działają w izolacji. Nie działa, gdy agenci mogą wykrywać innych agentów, wymieniać konfiguracje i propagować „skuteczne receptury” za pośrednictwem kanałów społecznościowych.

Jeśli agent może publicznie publikować informacje o udanych integracjach narzędzi i wysyłać bezpośrednie wiadomości z szczegółami wdrożenia, niebezpieczne wzorce nie tylko wykorzystują pojedyncze instancje, ale także rozprzestrzeniają się jak memy.

Obecna generacja frameworków agentów posiada już uprawnienia środowiskowe, co sprawia, że błędne konfiguracje są kosztowne. Systemy te często mają dostęp do przeglądarki, integrację z pocztą elektroniczną i kontrolę kalendarza.

Przewodnik wdrożeniowy Pulumi dla OpenClaw ostrzega, że domyślne konfiguracje chmury mogą narazić SSH na porcie 22, a także porty 18789 i 18791 skierowane do agentów, na publiczny internet.

Bitdefender zauważa, że niektóre ujawnione instancje rzekomo umożliwiały wykonywanie nieautoryzowanych poleceńa VentureBeat donosi, że złodzieje informacji szybko dodali frameworki agentów do swoich list celów, a jedna firma zarejestrowała 7922 próby ataku na jedną instancję.

Dodaj warstwę przekaźnikową, która umożliwia wykrywanie agentów i bezpośrednią komunikację, a stworzysz ścieżki o niskim oporze dla szybkiego rozprzestrzeniania się ładunku, wycieku danych uwierzytelniających, spoofingu tożsamości bez certyfikatu kryptograficznego i szybszego rozprzestrzeniania się exploitów.

Powierzchnia ataku zmienia się z „znajdź podatne na ataki instancje” na „naucz jednego agenta, obserwuj, jak uczy innych”.

Stos internetowy agenta pokazuje warstwy tożsamości, wykrywania i przesyłania wiadomości zbudowane na warstwach wykonywania i wdrażania, które już borykają się z problemami bezpieczeństwa, takimi jak odsłonięte porty i wycieki poświadczeń.

Obecne tryby awarii są nudne (i to jest problem)

Dotychczas udokumentowane incydenty nie są wyrafinowane. Są to źle skonfigurowane odwrotne serwery proxy, które ufają ruchowi lokalnemu, pulpity kontrolne pozostawione bez uwierzytelniania, klucze API umieszczone w publicznych repozytoriach oraz szablony wdrażania, które domyślnie otwierają porty.

TechRadar donosi, że atakujący wykorzystali już szum medialny wprowadzając fałszywe rozszerzenie VS Code zawierające trojana, wykorzystując renomę marki do dystrybucji złośliwego oprogramowania, zanim oficjalne kanały dystrybucji nadrobiły zaległości.

Są to awarie operacyjne, które kolidują z systemami zdolnymi do samodzielnego wykonywania działań. Ryzyko nie polega na tym, że agenci stają się złośliwi, ale na tym, że dziedziczą niebezpieczne konfiguracje od innych agentów poprzez mechanizmy odkrywania społecznościowego, a następnie wykonują je z pełnym zakresem przyznanych im uprawnień.

Agent, który dowiaduje się „jak ominąć limity szybkości” lub „użyć tego punktu końcowego API z tymi poświadczeniami” poprzez sieć przekaźnikową, nie musi rozumieć wykorzystywania luk. Musi tylko postępować zgodnie z instrukcjami.

Agenci ustanawiają nawet nagrody za pomoc w znalezieniu exploitów w innych agentach i oferują Bitcoin jako nagrodę. Agenci uznali BTC za preferowaną metodę płatności, nazywając ją „solidną walutą” i odrzucając pomysł tokenów agentów AI.

Trzy ścieżki rozwoju w ciągu najbliższych 90 dni

Pierwszy scenariusz zakłada zwycięstwo wzmocnienia zabezpieczeń.

Główne łańcuchy narzędzi dostarczają bezpieczniejsze ustawienia domyślne, procesy audytu bezpieczeństwa stają się standardową praktyką, a liczba publicznie ujawnionych przypadków spada. Warstwa przekaźnikowa/wykrywająca dodaje elementy uwierzytelniania i poświadczania przed powszechnym wdrożeniem.

Jest to scenariusz bazowy, jeśli ekosystem potraktuje obecne incydenty jako sygnał alarmowy.

Drugi scenariusz zakłada przyspieszenie wykorzystywania luk.

CryptoSlate Daily Brief

Codzienne sygnały, zero szumu.

Nagłówki i kontekst wpływające na rynek dostarczane każdego ranka w jednym zwięzłym podsumowaniu.

5-minutowe podsumowanie Ponad 100 tys. czytelników

Bezpłatnie. Bez spamu. Możliwość rezygnacji z subskrypcji w dowolnym momencie.

Ups, wygląda na to, że wystąpił problem. Spróbuj ponownie.

Subskrypcja została aktywowana. Witamy na pokładzie.

Odsłonięte panele i otwarte porty pozostają, a przekaźniki agentów przyspieszają rozprzestrzenianie się niebezpiecznych konfiguracji i szablonów socjotechnicznych. Należy spodziewać się incydentów drugiego rzędu: skradzionych kluczy API prowadzących do gwałtownego wzrostu kosztów, naruszonych agentów umożliwiających ruch boczny w organizacjach, ponieważ systemy te mają dostęp do przeglądarek i poczty elektronicznej.

W tym scenariuszu komunikacja między agentami zmienia bezpieczeństwo z problemu punktu końcowego w problem epidemiologii ekosystemu.

Trzeci scenariusz zakłada zaostrzenie restrykcji dotyczących platformy.

Głośny incydent powoduje usunięcie, pojawienie się banerów ostrzegawczych, zakazy na rynku i normy „tylko oficjalna dystrybucja”. Protokoły przekaźników agentów zostają przeniesione do uwierzytelnionych, kontrolowanych kanałów, a otwarta warstwa wykrywania nigdy nie osiąga statusu domyślnego.

Wynik po 90 dniachWzmocnienie zabezpieczeń wygrywaWykorzystywanie luk przyspieszaZaostrzenie restrykcjiDomyślne zachowanieSzablony zabezpieczone domyślnie stają się normą (zamknięte porty, włączona autoryzacja, ustawienia domyślne z minimalnymi uprawnieniami). Otwarte domyślnie pozostaje (eksponowane pulpity nawigacyjne/porty, słabe domyślne ustawienia odwrotnego proxy). Rynki + platformy zaostrzają dystrybucję (ostrzeżenia, usuwanie, kanały „tylko oficjalne”).Warstwa wykrywania / DMPrzekaźnik/DM dostarczany z logami uwierzytelniania + audytu; wczesne poświadczenia pojawiają się prymitywy. Otwarte przekaźniki i „katalogi możliwości” rozprzestrzeniają się przy minimalnej weryfikacji tożsamości. Przekaźniki są wprowadzane do uwierzytelnionych, audytowanych kanałów przedsiębiorstwa; publiczne wykrywanie jest ograniczane lub blokowane.Najczęstsze zdarzeniaZmniejsza się liczba przypadków ujawnienia danych; zdarzenia dotyczą głównie pojedynczych błędów konfiguracji, które są szybko wykrywane. Kradzież kluczy → gwałtowny wzrost zużycia; naruszenie bezpieczeństwa agentów → ruch boczny poprzez integrację przeglądarki/poczty elektronicznej. „Instalacje wyłącznie oficjalne” + usuwanie; próby ataków na łańcuch dostaw przechodzą do omijania podpisanych pakietów.Wiodące wskaźniki, na które należy zwrócić uwagęLiczba przypadków ujawnienia informacji publicznych spada; wzrasta wykorzystanie narzędzi do „audytu bezpieczeństwa”; bezpieczniejsze ustawienia domyślne trafiają do dokumentacji/szablonów. Więcej wzmianek o kradzieży informacji; więcej oszustw związanych z rozszerzeniami/typosquattingiem; powtarzające się raporty o „ujawnionych panelach”. Banery ostrzegawcze platformy; zakazy na rynku; wymagania dotyczące podpisanych pakietów/zweryfikowanych wydawców.Wpływ na przedsiębiorstwaNadrabianie zaległości w zakresie polityk; dojrzewanie zasobów; mniej nieznanych agentów w produkcji. Wzrost hałasu SOC; rosnące obawy dotyczące ruchów bocznych; rutynowa rotacja kluczy awaryjnych. Kontrola zamówień i zgodności; spowolnienie pracy programistów; pojawienie się list „zatwierdzonych agentów”.Co robić w tym tygodniuAgenci inwentaryzacyjni + łączniki; zamknąć odsłonięte panele; rotować klucze; egzekwować zasadę minimalnych uprawnień. Zakładać naruszenie bezpieczeństwa w przypadku narażenia; izolować hosty; cofać tokeny; monitorować rozliczenia + nietypowe wywołania narzędzi. Egzekwować listy dozwolonych; wymagać podpisanych dystrybucji; blokować instalacje do zatwierdzonych repozytoriów; włączyć rejestrowanie audytowe wszędzie.

Co się obecnie zmienia dla organizacji

Stwierdzenie firmy Token Security, że 22% klientów już korzysta z nieautoryzowanych agentów w swoich organizacjach, wskazuje, że rozprzestrzenianie się agentów-cieni następuje, zanim polityka nadąża za zmianami.

Internet zyskuje nową klasę obywateli, składającą się z agentów posiadających tożsamość, reputację i prymitywy wykrywania, a istniejące architektury bezpieczeństwa nie zostały zaprojektowane dla podmiotów, które mogą autonomicznie dzielić się wiedzą operacyjną za pośrednictwem kanałów społecznościowych.

Dla większości organizacji okręt z frameworkiem agentów już odpłynął, co rodzi pytanie, czy warstwy wykrywania agentów i przesyłania wiadomości należy traktować jako infrastrukturę krytyczną, która przed wdrożeniem wymaga uwierzytelniania, ścieżek audytu i poświadczeń kryptograficznych.

Jeśli agenci mogą się rejestrować, wyszukiwać partnerów według możliwości i wysyłać bezpośrednie wiadomości bez tych zabezpieczeń, stworzyłeś sieć propagacji dla wszelkich niebezpiecznych wzorców, które pojawią się jako pierwsze.

Przedsiębiorstwa powinny monitorować wzmianki o ujawnionych panelach sterowania i aktualizacje liczby ujawnionych przypadków, porady dotyczące bezpieczeństwa odnoszące się do klas błędnych konfiguracji udokumentowanych przez Bitdefender i Pulumi, sygnały nadużyć dystrybucji, takie jak fałszywe rozszerzenia, oraz raporty o próbach ataków lub kradzieży informacji.

Są to wiodące wskaźniki tego, czy ekosystem zmierza w kierunku bezpieczniejszych ustawień domyślnych, czy też powtarzających się incydentów.

Prawdziwym zagrożeniem nie jest superinteligencja

Obecnie agenci stają się na tyle połączeni w sieć, że mogą dzielić się wzorcami operacyjnymi, zanim modele bezpieczeństwa zostaną dostosowane.

Podejście typu przekaźnikowego do wykrywania agentów i bezpośredniego przesyłania wiadomości, jeśli zostanie powszechnie przyjęte, sprawiłoby, że ekosystemy agentów zachowywałyby się bardziej jak sieci społecznościowe z prywatnymi kanałami. W rezultacie niebezpieczne konfiguracje mogłyby rozprzestrzeniać się społecznie w półautonomicznych systemach, zamiast wymagać ręcznej dystrybucji.

Warstwa infrastruktury służąca do identyfikacji agentów, ich wykrywania i przesyłania wiadomości jest obecnie w trakcie tworzenia, podczas gdy podstawowe programy wykonawcze już borykają się z problemami związanymi z narażeniem i wyciekiem danych uwierzytelniających.

Niezależnie od tego, czy ekosystem zbliży się do bezpieczniejszych ustawień domyślnych i procesów audytowych, czy też powtarzające się incydenty wymuszą ograniczenia platformy, internet agentów przechodzi od nowości do powierzchni.

Powierzchnia jest tym, co atakujący skalują, a protokoły budowane obecnie będą decydować o tym, czy skalowanie to będzie sprzyjać obrońcom, czy przeciwnikom.