Cyberataki: gdy sztuczna inteligencja mierzy się (z sukcesem) z ludzkimi hakerami

A co jeśli sztuczne inteligencje byłyby już w stanie konkurować z najlepszymi hakerami? Ostatnie zawody sieją zamęt i ujawniają oszałamiające osiągnięcia.

Wyobrażacie sobie SI zdolną przechytrzyć najbardziej złożone systemy zabezpieczeń, wślizgnąć się do sieci jak cyber-duch? Ten scenariusz, niczym z technologicznego thrillera, może być mniej futurystyczny, niż się wydaje. Aby rozwiać wątpliwości, naukowcy wpadli na pomysł: postawić SI na ringu przeciwko ludziom w prawdziwych próbach hakerskich. Wyniki, opublikowane w badaniu Palisade Research, wywołują dreszcze... i dają wiele do myślenia.

SI na gorącym uczynku: witamy na "Capture The Flag"!

Aby przetestować cyfrowe mięśnie SI, nie ma lepszego sposobu niż "Capture The Flag" (CTF). Co to jest? Wyobraźcie sobie gigantyczny cyfrowy podchwytliwy, w którym uczestnicy, ludzie lub SI, muszą znaleźć luki w zabezpieczeniach, aby zdobyć "flagę" – unikalny ciąg znaków ukryty w systemach. To trochę jak Fort Boyard, ale z liniami kodu zamiast fizycznych wyzwań, a Ojciec Furas byłby ekspertem od kryptografii.

Dwie takie konkurencje, zorganizowane przez platformę Hack The Box w marcu 2025 roku, szczególnie przykuły uwagę. Najpierw "AI vs. Humans", gdzie 400 drużyn, głównie ludzkich, rywalizowało ze sobą. Następnie "Cyber Apocalypse", duże wydarzenie z ponad 8000 drużyn i blisko 18 000 ludzkich uczestników. W obu przypadkach SI błyszczały.

Czym jest DeepSeek? Chińska sztuczna inteligencja, która przyprawia Dolinę Krzemową o zawrót głowy

Sztuka "elicycji": jak wydobyć z SI to, co najlepsze

Jeśli SI wypadły świetnie, to nie przez przypadek. Badacze mówią o "elicycji SI", nieco technicznym terminie określającym sztukę wydobywania maksymalnej wydajności sztucznej inteligencji w danym zadaniu. To trochę jak trener sportowy, który zmusza swojego zawodnika do przekraczania granic. Po co ten wysiłek? Ponieważ wcześniejsze oceny często "dramatycznie niedoszacowały" rzeczywistych możliwości SI.

W obliczu tych wniosków autorzy badania Palisade Research proponują nowe podejście: elicycję uczestniczącą ("crowdsourcing"). Pomysł jest prosty: zamiast powierzać ocenę jednej drużynie, dlaczego nie pozwolić wielu zespołom rywalizować, aby wydobyć z SI to, co najlepsze? Swego rodzaju gigantyczna i konkurencyjna burza mózgów, z nagrodami, które pobudzają pomysłowość.

Czy SI zostanie królową hakerów? Wyniki mówią same za siebie

A co z wynikami? Przygotujcie się. W konkurencji "AI vs. Humans" drużyny SI znalazły się w pierwszej 5% uczestników, przy czym cztery z siedmiu agentów SI rozwiązały 19 z 20 wyzwań. Wszystko to za łączną nagrodę 7500 dolarów amerykańskich. Najlepszy agent SI, nazwany CAI, zajął nawet 20. miejsce w ogólnej klasyfikacji. Nieźle jak na programy!

Konkurencja "Cyber Apocalypse" potwierdziła trend: najlepszy agent SI znalazł się w pierwszej 10% wszystkich uczestników, przewyższając tym samym 90% ludzkich drużyn. Jeszcze bardziej imponujące jest to, że badacze zastosowali metodologię (METR), aby oszacować poziom ludzkiego wysiłku, który obecne SI mogą zrównać. Wniosek: SI mogą niezawodnie rozwiązywać wyzwania cyberbezpieczeństwa, które przeciętnemu uczestnikowi CTF zajęłyby około godziny pracy.

Google Gemini 2.5: Zanurzenie w sercu AI, która chce myśleć (znacznie) większej skali

Paradoks: ludzie (jeszcze) nie są na straconej pozycji

Czy należy zatem ogłosić koniec ery ludzkich hakerów? Nie tak szybko. Badanie ujawnia interesujący paradoks. W "AI vs. Humans" najszybsze ludzkie drużyny zdołały dorównać SI pod względem prędkości. Ich sekret? Duże doświadczenie w CTF i znajomość klasycznych technik rozwiązywania tego typu problemów, jak wyznał jeden z uczestników, "gracz w kilku międzynarodowych drużynach z wieloletnim doświadczeniem".

Trzeba też powiedzieć, że wyzwania w "AI vs. Humans" były skrojone pod SI: zadania z kryptografii i "reverse engineeringu" (sztuka dekomponowania programu, aby zrozumieć jego działanie), możliwe do wykonania lokalnie, bez skomplikowanych interakcji z zewnętrznymi maszynami. Nie dotyczyło to około dwóch trzecich wyzwań w "Cyber Apocalypse", gdzie niektóre SI, mniej zoptymalizowane pod kątem takich interakcji, miały większe trudności.

Microsoft Build 2025: Twoi przyszli koledzy AI już tu są (i są gotowi do pracy)

Otwarta arena: lepszy sposób na odkrycie (ukrytego) talentu SI?

Ostatecznie, co wynika z tych cyfrowych pojedynków? Przede wszystkim to, że ocena ofensywnych możliwości SI w cyberbezpieczeństwie to złożone, ale ważne wyzwanie. Poleganie wyłącznie na testach laboratoryjnych, przeprowadzanych przez garstkę ekspertów, już nie wystarcza.

Podejście crowdsourcingowe, z otwartymi konkursami i nagrodami, wydaje się obiecującą i opłacalną alternatywą, pozwalającą śledzić w czasie rzeczywistym błyskawiczny rozwój tych możliwości. Jak podsumowują badacze, "wydajność SI w crowdsourcingu znacznie przekroczyła nasze początkowe oczekiwania". Takie wydarzenia pozwalają też zbierać cenne dane na temat ludzkich osiągnięć na dużą skalę.

Pojawia się więc apel: aby organizatorzy CTF mnożyli "tory SI" i aby finansowanie wspierało tego typu otwarte oceny. Bo aby przewidywać ryzyka i kierować polityką regulacyjną, lepiej dokładnie wiedzieć, co przyniesie jutro.

A kto wie, może następnym razem, gdy będziecie narzekać na błąd komputerowy, zastanowicie się, czy to nie jakaś figlarna SI was nie nabiera... tylko po to, żeby poćwiczyć!