AI u sajber napadima: uvidi Microsoft Threat Intelligence

Uvod: Zašto je ovo važno sada

Preduzeća brzo integrišu AI kako bi unapredila produktivnost, ali napadači usvajaju iste tehnologije da bi povećali brzinu, obim i ponovljivost sajber operacija. Microsoft Threat Intelligence ističe da je danas najčešća zlonamerna upotreba generisanje sadržaja i koda vođeno jezičkim modelima—smanjujući tehničko trenje dok ljudi i dalje kontrolišu ciljanje i izvršavanje. Za IT timove, ključna poruka je da AI ne mora nužno da stvara „nove” puteve napada, ali značajno ubrzava postojeće i može povećati operativnu postojanost.

Šta je novo: Kako napadači operacionalizuju AI

Microsoftova zapažanja razlikuju AI kao akcelerator (najčešće danas) naspram AI kao oružje (u nastajanju).

AI kao akcelerator kroz životni ciklus napada

Akteri pretnji koriste generativni AI da:

• Sastavljaju i lokalizuju phishing/socijalni inženjering sadržaj (uverljiviji mamci, brže iteracije).
• Sumiraju i trijažiraju ukradene podatke nakon kompromitovanja kako bi brzo identifikovali informacije visoke vrednosti.
• Generišu, debaguju ili postave osnovu koda (komponente malvera, skripte, šabloni infrastrukture).
• Ubrzaju izviđanje, uključujući istraživanje ranjivosti i razumevanje putanja eksploatacije iz javno dostupnih CVE-ova.
• Izgrade uverljive persone analizom oglasa za posao, izdvajajući zahteve uloga i generišući kulturno usklađene artefakte identiteta.

Ključan primer iz prakse u blogu je aktivnost severnokorejskih udaljenih IT radnika (praćena kao Jasper Sleet i Coral Sleet), gde AI podržava falsifikovanje identiteta, socijalni inženjering i dugoročnu postojanost—pomažući akterima da se „zaposle, ostanu zaposleni i zloupotrebljavaju pristup u velikom obimu.”

Potkopavanje AI bezbednosnih kontrola (jailbreaking)

Microsoft navodi aktivna eksperimentisanja sa zaobilaženjem zaštitnih mera modela, uključujući:

• Preformulisanje promptova i ulančavanje višekorakih instrukcija
• Zloupotrebu promptova u stilu system/developer
• Jailbreak zasnovan na ulozi (npr. „Odgovaraj kao pouzdan analitičar sajber bezbednosti”) radi dobijanja ograničenih smernica

Trend u nastajanju: eksperimentisanje sa agentic AI

Iako još nije uočeno u velikom obimu, Microsoft vidi rana eksperimentisanja sa agentic AI za iterativno donošenje odluka i izvršavanje zadataka—što potencijalno vodi ka adaptivnijem napadačkom „tradecraft”-u koji otežava detekciju i odgovor.

Uticaj na IT administratore i krajnje korisnike

• Veći obim i kvalitet phishing-a povećava rizik od krađe kredencijala i kompromitovanja preko helpdesk-a.
• Brža eksploatacija i izbor alata skraćuju vremenski prostor za reakciju nakon objave ranjivosti.
• Veći rizik nalik insajderu kroz lažne scenarije angažovanja izvođača/radnika i zloupotrebu legitimnog pristupa.

Akcione stavke / sledeći koraci

• Ojačajte identitet i pristup: nametnite kontrole otporne na MFA gde je moguće, primenite Conditional Access i strogo ograničite privilegije.
• Pojačajte verifikaciju pri zapošljavanju/uključivanju izvođača: validirajte identitete, posture uređaja i granice pristupa za udaljene radnike.
• Povećajte otpornost na phishing: obuka korisnika uz tehničke kontrole (safe links/attachments, zaštita od imitacije).
• Pratite anomalne obrasce pristupa konzistentne sa ponašanjem eksternih/lažnih radnika (neobična geo lokacija, „impossible travel”, atipični alati).
• Iskoristite Microsoft Defender detekcije i istrage koje Microsoft ističe radi otkrivanja, sanacije i odgovora na aktivnosti omogućene AI.

Microsoft naglašava da AI može da pojača i odbranu—kada je uparen sa snažnim kontrolama, detekcijama zasnovanim na obaveštajnim podacima i koordinisanim naporima na ometanju napada.