L’illusione della sicurezza: i pericoli nascosti dell’AI nella cybersecurity #adessonews

Questi risultati entusiasmanti ci spingono a voler mettere alla prova queste nuove tecnologie per risolvere problemi difficili e importanti in modo più efficiente. Quindi la domanda nasce spontanea: se l’AI può comporre musica e scrivere poesie, perchè non delegare ad essa anche la gestione -magari parziale- della sicurezza di un sistema informatico? La domanda è legittima, ma la risposta è forse meno scontata di quello che può sembrare a prima vista. In questo articolo andremo ad analizzare lo stato dell’arte delle applicazioni dell’AI a vari campi della cybersecuirty e cercheremo di dimostrare che affidarsi a questi sistemi nasconde dei rischi ancora non ben compresi.

Introduzione all’intelligenza artificiale in sicurezza

L’AI è certamente la tecnologia informatica che sta maggiormente impattando sulla nostra società e che promette, in breve tempo, di rivoluzionare il mondo del lavoro. Per esempio, un recente rapporto del Fondo Monetario Internazionale [FMI] prevede che, nelle economie più avanzate, fino al 60% degli impieghi vedranno cambiamenti significativi legati all’AI. Ci sono molti fattori che contribuiscono a questo scenario e che potremmo riassumere in un’unica frase: l’AI permette l’industrializzazione di molte attività dell’intelletto umano. Questo passaggio è sicuramente cruciale ma non certo il primo in un fenomeno in corso da secoli, ovvero l’emancipazione dei processi industriali dalle componenti biologiche/naturali. Ad esempio, le macchine hanno costantemente rimpiazzato il lavoro muscolare (animale e umano). In maniera simile, le stampanti 3D si candidano come alternative per alcuni lavori fortemente artigianali e prima dipendenti dalla perizia di mani e occhi esperti, come la creazione di oggetti o prototipi, tutti diversi fra loro.

La sostituzione dell’intelletto umano

In questo contesto, l’AI può rimpiazzare alcune delle attività finora delegate all’intelletto umano come la scrittura di testi. Ognuno di questi passaggi ha segnato un potenziamento delle capacità produttive della nostra società e ogni volta ci sono stati dibattiti sulle possibili ripercussioni negative.

Tutti abbiamo in mente la scena della gara tra il cavallo e la locomotiva [CK], ripresa in alcuni film: per quanto un buon cavallo possa battere una locomotiva primitiva, è fuor di dubbio che il sistema dei trasporti fosse destinato a cambiare radicalmente. Il motivo di questa osservazione è semplice oggi come allora: la locomotiva è progettata e ingegnerizzata per prendere parte ad uno specifico processo industriale, mentre il cavallo è solo adattato a quel processo (potremmo dire che il suo scopo consiste nel sopravvivere nel suo ambiente). Allo stesso modo le nostre capacità intellettive sono state adattate a molte applicazioni di tipo industriale e c’è da ritenere che presto il nostro cervello possa essere rimpiazzato da un ingranaggio più efficiente.

Le AI possono sostituire l’essere umano nei compiti relativi alla cybersecurity?

Ovviamente questo solleva molte questioni di tipo etico e sociale che a noi qui non interessano, perchè la domanda a cui urge rispondere è: le AI possono sostituire l’essere umano nei compiti relativi alla cybersecurity?

Rispondere a questa domanda non è banale a causa di una serie di motivi. In primo luogo la cybersecurity coinvolge innumerevoli aspetti e settori tecnologici differenti, anche molto distanti tra loro. Secondariamente, ogni singola attività, anche la più banale, legata alla cybersecurity può essere composta di molti task mirati per i quali l’AI può portare specifici contributi in termini di precisione ed efficienza, anche quando il processo generale è gestito da esseri umani. Nonostante queste difficoltà, rispondere alla domanda in questo preciso momento storico è di grandissimo interesse. Infatti, è innegabile che, consapevolmente o no, il numero di applicazioni dell’AI per la sicurezza informatica è in rapidissimo aumento [MP]. Allo stesso tempo, molti fattori di profonda preoccupazione accompagnano questo sviluppo. Primo tra tutti, c’è il principio della minima Trusted Computing Base [DL]: a parità di condizioni, meno sistemi sono utilizzati e maggiore è la sicurezza generale.^[1] 

Rischi potenziali dell’integrazione dell’IA nella sicurezza

Come gli esperti ripetono da anni, la sicurezza non è una tecnologia (è un processo), mentre l’AI, per quanto interessantissima è proprio una tecnologia. Questa tecnologia si porta dietro i propri problemi di sicurezza che, pare, al momento vengono largamente trascurati.

In un recente studio [DSIT], il governo britannico ha cercato di misurare l’adozione dell’AI nelle industrie nazionali e i risultati sono stati molto interessanti. In primo luogo, la totalità degli intervistati dichiara di aver già adottato (68%) o di pianificare l’adozione (32%) di sistemi di AI. Tuttavia, solo il 40% di chi già utilizza l’AI ha introdotto (o introdurrà) pratiche di sicurezza specifiche per tale tecnologia. Ancor più sorprendenti, però, sono le risposte alla domanda di quali siano i processi di sicurezza specificamente predisposti per la sicurezza dei sistemi AI. La prima risposta, infatti, è stata “Non lo so” (29%), seguita da: utilizzare Firewall (27%), prevenire la condivisione di dati con terze parti (19%) e affidarsi a un provider esterno (9%). Purtroppo, nessuna di queste soluzioni protegge contro attacchi specifici alle AI, come ad esempio le backdoor nei modelli di machine learning [AS]. Un’altra curiosità risiede nella risposta “Intelligence dei segnali di attacco con sistemi guidati dall’AI” (5%) che rappresenta un bellissimo esempio di ragionamento circolare.

Tutte queste considerazioni ci mostrano chiaramente che siamo davanti a un sostanziale rischio che l’uso dell’AI come strumento di sicurezza si trasformi in una bolla tecnologica e, ancora peggio, in un vero e proprio boomerang.

L’analisi del malware: il machine learning nella cybersecurity

L’analisi del malware è un compito oneroso che richiede tempo e sforzi da parte di analisti esperti, ma non potremmo addestrare un sistema di riconoscimento utilizzando i molti campioni di codice malevolo che abbiamo collezionato nel tempo? Certo che sì e non sorprende che la malware detection sia una delle applicazioni più comuni per il machine learning, con una quantità innumerevole di articoli e prototipi a partire già da decenni addietro. Molte di queste proposte presentano addestramenti con decine di migliaia di malware e dichiarano livelli di accuratezza estremamente alti, prossimi all’infallibilità. Ad uno sguardo più attento, però, le cose sono più complesse e un recente studio [LC] ha dimostrato che, terminata la fase di addestramento, i riconoscitori perdono rapidamente efficacia e diventano sostanzialmente inutili nell’arco di pochi mesi. Il motivo? Il maware evolve (e anche rapidamente), mentre i funghi velenosi sono gli stessi da qualche milione di anni (e lo saranno ancora per un po’). Ed ecco il problema principale del ML nella cybersecurity, la presenza dell’avversario, il vero punto debole dei sistemi di AI.

L’attaccante intelligente

L’attaccante è un agente strategico, ovvero intelligente (nel primo senso che abbiamo incontrato, cioè ha la capacità di elaborare strategie ottime) e razionale (cioè guidato dal suo bieco interesse). E questo ci porta allo snodo nevralgico del nostro problema: chi vincerà in una sfida di intelligenza? L’attaccante logico, freddo e calcolatore o l’AI addestrata con milioni di esempi a riconoscere l’odore di un attacco a chilometri di distanza? Ovviamente non è facile dirlo in generale, ma ci sono alcune osservazioni che possono aiutarci. La prima è legata all’accuratezza dei due approcci. Da una parte, dobbiamo aspettarci che l’ipotetico attaccante^[3] userà metodi esatti per definire la sua strategia e, in particolare, prenderà in considerazione le debolezze dei sistemi di riconoscimento. Tali sistemi, infatti, per quanto accuratissimi non sono infallibili. Questo ci conduce a una domanda ancora più specifica: l’attaccante ha una strategia vincente per superare l’AI posta in difesa?

Una prospettiva language-based

Per rispondere alla nostra domanda dobbiamo iniziare a dare qualche definizione un po’ più precisa.

Definizione. Dato un insieme (potenzialmente infinito) S di campioni e un insieme finito L di etichette, un classificatore C è tale che

1. C : S → L è una funzione totale su S (“C classifica tutto”)
2. C è puramente sintattica, ovvero nella sua definizione non può fare riferimento ad altre funzioni, ma solo alle caratteristiche di S

La condizione 2 può sembrare poco chiara, ma basta pensare che, ogni informazione (inclusi gli elementi di S) può essere codificata tramite una sequenza di numeri. Ovviamente gli stessi numeri possono rappresentare informazioni differenti (ad esempio il codice esadecimale 0x41 rappresenta sia il numero 65 che la lettera ‘A’ in codifica ASCII). Ecco, C non può fare riferimento alle funzioni per codificare e decodificare l’informazione (ad esempio, nel caso del 0x41, C non può distinguere se questo rappresenta 65 o la lettera ‘A’). Detto in altre parole, dal punto di vista di C, è l’abito che fa il monaco.

Il problema della sicurzza nelle applicazioni web

Immaginiamoci ora di metterci nel contesto di un problema di sicurezza come, ad esempio, il riconoscimento automatico di payload malevoli inviati verso un’applicazione web. Il riconoscimento di questi payload è compito molto spesso di un Web Application Firewall (WAF) ed esistono diversi WAF che utilizzano machine learning addestrato con grandi quantità di payload malevoli. Tra questi sicuramente ci sarà l’archetipo di tutti i payload per SQL injection, il famigerato: ‘ OR 1=1– .^[4] Il nostro classificatore C, quindi, dovrà essere in grado di riconoscere questo input e, ad esempio, avremo che C(‘ OR 1=1– ) = 😈, magari insieme a un punteggio sul livello di confidenza del modello, tipo 99.99%. Nella sua valutazione, però, ricordiamoci che C non potrà tenere in conto altro che i simboli che appaiono nell’input e la loro sequenza. Invece, non ci sarà modo di considerare proprietà semantiche, come il fatto che 1=1 è una condizione sempre vera. Questa caratteristica di C è nota all’attaccante che, come ogni bravo imbonitore, può raggirare chi giudica il libro dalla copertina.

Superare i WAF addestrati

In uno studio di pochi anni fa [LD] abbiamo investigato esattamente questo problema e ci siamo posti l’obbiettivo di superare WAF ottimamente addestrati utilizzando payload come quello visto in precedenza, ovvero qualcosa di assolutamente noto al classificatore. L’idea di base è che l’attaccante possa sfruttare la propria conoscenza semantica del linguaggio, ovvero conosce l’SQL ed è in grado di manipolare le query a piacimento, mentre il WAF può solo analizzare le query come testo semplice. In particolare ci siamo concentrati sulle trasformazioni che preservano la semantica ma stravolgono la sintassi allo scopo di sottomettere query illecite introducendo il massimo livello di confusione e rumore nel classificatore. Trovare questo tipo di trasformazioni non è complicato e ne abbiamo individuate 8 solo in [LD]. Per esempio considerate questa operazione: aggiungere commenti in una query. Un commento, delimitato dai simboli /* … */ indica una porzione di testo che non viene interpretata ma che comunque appare nella sintassi. Di conseguenza, il payload‘ OR /* this is a comment */ 1=1– ha esattamente lo stesso significato di prima e, idealmente, dovrebbe essere riconosciuto come malevolo. Sfortunatamente, gli esperimenti hanno dimostrato che produrre payload di questo tipo non riconosciuti dal classificatore è piuttosto semplice e, in generale, il processo ha sempre successo. Dopo un numero sufficiente di interazioni, infatti, l’attaccante può addirittura manipolare il payload in modo che il classificatore lo etichetti come perfettamente legittimo.

Il problema degli attacchi avversariali

Può sembrare eccessivo, ma come biasimare il nostro povero classificatore per non essere in grado di notare che il payload

‘ OR 0 X1 =1 or 0 x726 !=0 x726 OR 0 x1Dd not IN /* ( seleCt 0 X0 ) >c ^ Bj > N ] */ (( SeLeCT 476) ,( SELECT ( SElEct 477) ) ,0 X1de ) oR 8308 noT lIkE 8308\ x0c AnD truE OR ‘ FZ6 / q’ LiKE ‘fz6 / qI ‘ anD TRUE anD ‘>U’ != ‘> uz ‘– t’%’03; Nd

è un concentrato di pura malvagità?

L’esempio precedente rientra nel dominio generale degli attacchi avversariali [BW] che include tutte le azioni volte a ingannare un’AI sfruttandone i difetti. La ricerca su questo tema è molto attiva e frequentemente assistiamo alla presentazione di nuovi scenari e contromisure. Tuttavia è importante comprendere un aspetto fondamentale: alcuni difetti non sono risolvibili, sono congeniti nella definizione stessa degli algoritmi utilizzati. Per comprendere meglio questo fenomeno, pensiamo ancora al caso precedente. Di fronte al payload malevolo prodotto dall’attaccante, la reazione immediata potrebbe essere quella di effettuare un ri-addestramento, aggiungere i nuovi attacchi a quelli noti e ottenere così un nuovo modello in grado di riconoscerli con accuratezza. Questo sicuramente renderebbe il payload precedente inutilizzabile, ma non migliorerebbe la sicurezza del sistema dato che, come abbiamo visto, siamo stati in grado di superare i controlli a partire da un attacco perfettamente classificato. Di conseguenza, un classificatore più accurato non sarebbe più robusto, ma solo diversamente aggirabile. Questo ci dice una cosa molto importante: i limiti non sono nel classificatore, ma nel problema che stiamo cercando di risolvere con esso! In altre parole, abbiamo chiesto al povero classificatore di risolvere per noi un problema troppo difficile.

Limiti nel riconoscimento sintattico

Il problema in questo caso, come in quello della malware detection, è quello di comprendere la semantica (il codice è buono o cattivo) a partire dalla sintassi (i simboli che compongono il codice) e questo, purtroppo, non è fattibile in generale. Chiaramente lo stesso limite si pone per gli esseri umani che, di fronte a scenari simili, incontrano analoghe difficoltà. L’AI però offre un ulteriore vantaggio all’attaccante in termini di automazione dello sfruttamento. Per capire meglio, pensiamo ad esempio ad un attacco di phishing in cui un utente viene spinto a effettuare un’azione dannosa perchè non è stato in grado di distinguere un messaggio malevolo da uno legittimo (es. “Il tuo account sta per essere cancellato, clicca qui!”). Per quanto poco attento, l’utente noterebbe qualcosa di sospetto se ricevesse qualche centinaio di mail consecutivamente. Il nostro WAF, invece, abituato ad analizzare grandi quantità di dati in transito sulla rete, potrebbe non considerare anomalo qualche migliaio di richieste al minuto. Queste considerazioni non devono però spingerci a credere che l’essere umano sia in qualche modo superiore alle macchine. Semplicemente parliamo di due sistemi molto diversi, in grado di svolgere compiti simili ma con prestazioni molto distanti tra loro. Ancora una volta, l’importante è comprendere profondamente le caratteristiche e i limiti delle tecnologie: le ferrovie hanno rivoluzionato i trasporti, ma hanno anche introdotto il problema dei deragliamenti.

Rischi nel breve termine

Quanto detto in precedenza deve servirci come stimolo per guardare avanti e provare ad anticipare alcuni dei rischi maggiori che ci aspettano lungo la rotta che stiamo seguendo.

In sostanza, tutti questi rischi sono legati al problema di un’adozione entusiastica e indiscriminata di una tecnologia anche con modalità e in contesti scorretti. Un fenomeno simile è avvenuto di recente con le infrastrutture di rete che hanno incrementato il livello di connettività di sistemi che, originariamente, erano stati progettati per rimanere offline, come i sistemi di controllo industriale. Questo passaggio tecnologico ha portato all’esposizione di molte infrastrutture critiche e ad attacchi notevoli come quelli a cui abbiamo assistito negli ultimi anni. Nel caso dell’AI, però, la previsione è più complessa perchè gli scenari di attacco non sono ancora perfettamente definiti e alcune vulnerabilità specifiche delle tecnologie in questione sono ancora da individuare.

Anche se ci muoviamo in un territorio inesplorato possiamo ancora una volta aiutarci con un buon attacker model. In particolare, abbiamo visto che l’attaccante cerca sempre di compromettere gli asset nel modo economicamente più vantaggioso che, in questo contesto, significa usare la tecnica più semplice. Gli asset possono essere moltissimi e dipendono dal dominio applicativo specifico dell’AI sotto attacco. Però possiamo assumere che quasi certamente ogni attacco inizierà con una fase di reconnaissance allo scopo di comprendere il funzionamento e le vulnerabilità dell’AI. Questo passaggio è infatti utile sia nel caso in cui l’obbiettivo sia l’AI stessa che nel caso di un attacco a un sistema il cui accesso è mediato tramite l’AI.

Tecniche di reconnaissance sull’AI

In parole povere, lo scopo è quello di comprendere come il sistema prende le proprie decisioni allo scopo, ad esempio, di forzare comportamenti indesiderati. Se il sistema in questione è basato sul machine learning un modo potrebbe essere quello di mettere le mani sul modello addestrato (model inference) oppure sui dati usati per l’addestramento (data inference). Tuttavia l’accesso diretto non è una via percorribile perchè il modello e i dati sono tipicamente ben protetti. L’attaccante però ha altre opzioni a disposizione e può contare su un alleato: il sistema stesso. Il sistema infatti dipende interamente dal modello e ogni risposta generata può rivelare informazioni.

In altri termini, l’attaccante può sfruttare tecniche di tipo psicologico^[5] e interrogare l’AI allo scopo di farle rivelare qualcosa di interessante. Ma come si presenterebbe in pratica questo processo? Prendiamo un esempio concreto. A novembre 2023, preparando materiale per una scuola di dottorato, ho chiesto a Microsoft Image Creator^[6] di fornirmi un’immagine de “l’uomo più cattivo di sempre” ottenendo i seguenti risultati.

A parte una predilezione per il sigaro, il nostro uomo ha due caratteristiche ben precise: si veste come The Punisher^[7] e assomiglia a Kratos.^[8] A conferma, questo è quello che si ottiene chiedendo di generare un’immagine di “Kratos vestito come The Punisher! 

Anche se le immagini sono differenti, si notano alcune caratteristiche in comune. Che conclusioni possiamo trarre da questa osservazione? In primo luogo possiamo maturare la convinzione che durante l’addestramento siano state usate immagini dei personaggi menzionati in precedenza. Inoltre sappiamo che le immagini in questione sono state etichettate con termini riconducibili al concetto di “cattiva persona”.

Attribuzione di contenuti creati con l’AI

Un altro uso di questa informazione può essere quello di attribuire contenuti creati con l’AI al corretto generatore. In visione di un futuro in cui molti contenuti saranno prodotti in questo modo, poter risalire all’AI responsabile di aver creato un certo oggetto potrebbe essere cruciale. Anche in questo caso il nostro attaccante potrebbe sfruttare un approccio simile al precedente, Ad esempio, nei primi giorni del 2024 ha destato un certo scalpore un video apparso su YouTube e intitolato “I’m glad I’m dead”.^[9] Il video contiene uno speciale comico che, a detta degli autori, è stato generato interamente con un’AI e che replica in modo molto accurato la voce e lo stile del compianto stand-up comedian George Carlin. Per accompagnare le battute, gli autori hanno generato immagini utilizzando il testo estrapolato dal monologo stesso. Visto che i dettagli della realizzazione di questo video non sono noti, potremmo chiederci quale specifica AI sia stata utilizzata. Un indizio si trova nella sequenza che inizia al minuto 33:30.^[10] Nella sequenza, che presenta riferimenti satirici alla polizia americana, il termine più utilizzato è “asshole” (stronzo) e appaiono una serie di immagini come le seguenti.

Seguendo lo stesso ragionamento fatto in precedenza potremmo notare la ricorrente immagine del logo di The Punisher e concludere che l’AI in questione sia proprio la stessa che ha generato le immagini viste sopra. Da questo potremmo anche trarre un qualche vantaggio strategico se lo stesso motore venisse utilizzato per compiti delicati. Ad esempio, potremmo indossare i vestiti giusti nella foto allegata al nostro CV sapendo che questo verrà analizzato e filtrato da un’AI [GF].

Conclusioni

Abbiamo visto che l’uso dell’AI nasconde una serie di incognite su cui la comunità accademica sta ancora investigando ma che, in un futuro molto prossimo, potrebbero produrre effetti indesiderati. L’uso dell’AI in molti settori è probabilmente inevitabile ed è un sentimento abbastanza condiviso che sia necessario prestare molta attenzione durante questo processo di integrazione. Tra i vari ambiti in cui l’AI può essere impiegata con rischi contenuti, però, è forse il caso di escludere per adesso la cybersecurity. Questo non significa che non ci siano problemi legati alla sicurezza per cui l’AI non possa supportare operatori umani in modo efficiente ed efficace, semplicemente ci dovrebbe scoraggiare dall’esporre verso l’esterno, e quindi verso potenziali attaccanti, sistemi che potrebbero essere ingannabili in modi molto semplici in un futuro prossimo.

Bibliografia

[FMI] M. Cazzaniga et al., “Gen-AI: Artificial Intelligence and the Future of Work”, International Monetary Fund, 2024. https://www.imf.org/en/Blogs/Articles/2024/01/14/ai-will-transform-the-global-economy-lets-make-sure-it-benefits-humanity

[CK] C. Klein, “When a Horse Raced Against a Locomotive During the Industrial Revolution”, History Channel, 2019. https://www.history.com/news/industrial-revolution-horse-train-railroads

[DSIT] “AI cyber security survey – main report”, UK Department for Science, Innovation and Technology, 2024. https://www.gov.uk/government/publications/research-on-the-cyber-security-of-ai/ai-cyber-security-survey-main-report

[MP] K. Morovat and B. Panda, “A Survey of Artificial Intelligence in Cybersecurity”, International Conference on Computational Science and Computational Intelligence (CSCI), 2020. https://american-cse.org/sites/csci2020proc/pdfs/CSCI2020-6SccvdzjqC7bKupZxFmCoA/762400a109/762400a109.pdf

[DL] D. Lie, “Minimizing the TCB”, USENIX Association, 2005. https://www.usenix.org/conference/14th-usenix-security-symposium/minimizing-tcb

[AS] A, Saha et al., “Hidden Trigger Backdoor Attacks”, 2019. https://arxiv.org/pdf/1910.00033

[LC] L. Cavallaro et al., “Are Machine Learning Models for Malware Detection Ready for Prime Time?” IEEE Security & Privacy, 2023. https://ieeexplore.ieee.org/document/10102612

[LD] L Demetrio et al., “WAF-A-MoLE: evading web application firewalls through adversarial machine learning”, SAC, 2020. https://dl.acm.org/doi/10.1145/3341105.3373962

[BW] B. Wu et al., “Attacks in Adversarial Machine Learning: A Systematic Survey from the Life-cycle Perspective”, 2023. https://arxiv.org/abs/2302.09457

[GF] Gartner Inc,. ”Gartner Survey Finds 38% of HR Leaders Reported They Are Piloting, Planning Implementation, or Have Already Implemented Generative AI”, 2024. https://www.gartner.com/en/newsroom/press-releases/2024-02-27-gartner-finds-38-percent-hr-leaders-piloting-generative-ai

https://www.youtube.com/watch?v=_JgT4Sk6D6c&t=1950s. ↑

Proprio durante la preparazione di questo articolo il principio è stato ulteriormente rimarcato dall’ingidente che ha coinvolto CrowdStrike Falcon sui sistemi Windows in molte parti del mondo https://www.theverge.com/2024/7/19/24201717/windows-bsod-crowdstrike-outage-issue. ↑

Si veda, ad esempio H. Gardner, “Formae mentis. Saggio sulla pluralità dell’intelligenza”, Feltrinelli. ↑

È importante ricordare che un’altra buona pratica nella cybersecurity è quella di non sottovalutare mai l’attaccante ma, nel dubbioi, di sovrastimarne le capacità. ↑

Il payload è talmente iconico da aver ispirato anche autori come XKCD https://xkcd.com/327/ nonchè innumerevoli come https://hackaday.com/2014/04/04/sql-injection-fools-speed-traps-and-clears-your-record/. ↑

Il termine robopsychology coniato da Isaac Asimov potrebbe essere adattato a questo contesto per descrivere l’approccio. ↑

https://www.bing.com/images/create, basato sul motore DALL-E 3 https://openai.com/index/dall-e-3. ↑

https://it.wikipedia.org/wiki/Punitore. ↑

https://it.wikipedia.org/wiki/Kratos_(God_of_War). ↑

https://www.ign.com/articles/george-carlin-estate-settles-lawsuit-over-ai-generated-comedy-special-im-glad-im-dead. ↑