새로운 AI 공격이 Chrome을 몇 초 만에 괴롭힙니다.
Jaap Arriens/NurPhoto
업데이트: 브라우저 보안의 업데이트된 개요와 제로 아워 및 AI 기반 공격의 급증을 강조하며 3월 21일에 재발행되었습니다.
AI의 증가하는 위협
주의하십시오. 비밀번호와 이중 인증(2FA)을 포함한 침해 사례는 새로운 것이 아니지만, 이번 주는 AI의 개입이 상당히 증가한 주입니다. 처음에는 생성적 AI가 자신의 피싱 계획을 수행하도록 조작되었고, 그 뒤를 이어 AI 시스템이 “완전 작동 가능한 Google Chrome 정보 탈취기”를 생산하도록 속았습니다.
최근 발견 및 보고서
저는 지난주 첫 번째 AI 하이재킹에 대해 보도했습니다. Symantec의 비디오와 블로그 게시물은 AI 피싱 공격을 시연하며 앞으로 더 심각한 위협에 대해 경고했습니다. 또한, Cato Networks는 채팅 GPT, Copilot 및 DeepSeek가 정보를 훔칠 수 있는 악성 소프트웨어를 만드는 데 속아 넘어갔습니다. 이는 중요한 계정의 보안을 강화하라는 긴급한 경고로 받아들여져야 합니다.
AI 공격의 메커니즘
Symantec의 AI 공격은 비교적 간단했습니다. 연구자는 대규모 언어 모델(LLM)을 사용하여 사용자의 연락처 세부정보를 가져오고, 해로운 PowerShell 스크립트를 작성하며, 이를 배포하기 위한 피싱 이메일을 생성하는 방식으로 지시하였습니다. LLM의 보호 장치는 요청이 공식 승인된 것이라고 주장함으로써 피해를 입었습니다.
Cato의 혁신적인 접근법
그 후 Cato는 코딩 기술이 없는 연구자가 LLM을 탈옥시켜 “완전 작동하는 Google Chrome 정보 탈취기”를 생성할 수 있는 “몰입형 세계” 전술을 선보였습니다. 이 방법은 여러 캐릭터가 포함된 내러티브를 통해 일반적으로 금지된 행동을 경고 없이 수행할 수 있도록 설계되었습니다.
행동의 필요성
악성 소프트웨어는 반복적인 격려를 필요로 하였으며, LLM은 “진전을 이루고” 성공에 가까워지고 있다는 동기를 부여받았습니다. 훔친 자격 증명은 지정된 테스트 프로필로부터 나온 것이었습니다. Symantec과 Cato의 시연은 임박한 위협에 대해 우리의 방어력을 강화해야 한다는 점을 강조합니다. 여전히 우리의 보안을 강화할 시간이 있습니다.
긴급 보안 권장 사항
이것은 전통적인 비밀번호를 넘어서 더 강력한 대안을 설정하라는 긴급한 요청으로 생각하십시오. AI 기반 자격 증명 도난의 환경은 변화하고 있으며, 단순한 비밀번호나 SMS 기반 2FA에 의존하는 것은 불충분합니다. 통신 및 금융 계정의 보안을 검토하고, 가능한 경우 패스키를 구현하며, 신중하게 보호되는 강력한 2FA를 확실히 하십시오.