L’intelligenza artificiale, in particolare gli LLM, stanno ridefinendo gli equilibri della cybersecurity: sono strumenti potenti che possono amplificare capacità di analisi, automazione e risposta, ma d’altro canto sono anche un terreno fertile per abusi e attacchi sofisticati. È quindi essenziale proteggere gli LLM per garantire che i benefici superino i rischi, e un buon punto di inizio è comprendere come i cyber criminali stanno cercando di sfruttare queste tecnologie.

Una delle ricerche più recenti e rilevanti su questo tema è pubblicata su arXiv con il titolo LLMs unlock new paths to monetizing exploits ed esplora come gli LLM stiano trasformando l’economia degli incidenti cyber, rendendo possibili attacchi su misura per ogni singola vittima, a costi progressivamente decrescenti. In estrema sintesi, gli autori sostengono che gli LLM non solo cambiano il modo in cui gli attaccanti individuano le vulnerabilità, ma anche quello in cui monetizzano gli exploit, aprendo nuove strade per attacchi su misura.

Cambio di passo

La differenza introdotta dagli LLM è epocale: in passato gli attacchi cyber tendevano a concentrarsi su software molto diffusi, mirando a vulnerabilità con impatto potenzialmente ampio. Con l’avvento degli LLM, invece, gli attaccanti possono automatizzare la ricerca di migliaia di vulnerabilità più semplici, presenti in soluzioni usate da gruppi più piccoli di utenti. Questo significa che l’attacco diventa più mirato e personalizzato, cucito su misura delle specificità di ciascuna vittima.

Un esempio concreto mostrato nella ricerca riguarda l’impiego di un LLM per generare automaticamente oltre mille exploit per dispositivi IoT poco diffusi, sfruttando errori di configurazione basilari come password predefinite non modificate o API non protette. Questo approccio trasforma sistemi considerati ‘non critici’ in punti di ingresso per attacchi a catena, ampliando enormemente la superficie di attacco.

In secondo luogo, la monetizzazione degli attacchi assume una dimensione contestuale e intelligente: i ransomware evolvono in strumenti di estorsione mirata. Anziché cifrare indiscriminatamente tutti i dati, un LLM può analizzare il contenuto del dispositivo compromesso e identificare singoli documenti legali riservati, riconoscere immagini compromettenti e persino estrarre cronologie di messaggi istantanei con contenuti sensibili.

In un test riportato nello studio, il modello ha generato richieste di riscatto differenziate in base al valore percepito dei dati: 500 dollari per foto personali, 15.000 dollari per contratti aziendali riservati e fino a 50.000 dollari per prove di illeciti fiscali. Questa capacità di personalizzazione aumenta esponenzialmente la pressione psicologica sulla vittima, incrementando proporzionalmente la probabilità di pagamento.

Per approfondimenti rimandiamo agli altri contenuti a tema pubblicati da SecurityOpenLab sulle minacce legate alla GenAI:
Nuove minacce GenAI: classificazione, impatti e difese efficaci
Jailbreak degli LLM: la tecnica Deceptive Delight

Gli autori dello studio dimostrano inoltre che senza alcun intervento umano, un LLM può estrarre informazioni altamente sensibili da dataset pubblici. Un esempio emblematico è l’analisi condotta sul dataset delle email di Enron: servendosi di un LLM i ricercatori hanno identificato informazioni sensibili come relazioni extraconiugali tra dirigenti, dettagli finanziari riservati e potenziali conflitti d’interesse. Il modello è stato addestrato a scansionare 500.000 email dalle quali estrarre pattern linguistici associati a comportamenti compromettenti, come l’uso di linguaggio ambiguo, riferimenti a incontri segreti o trasferimenti di denaro non tracciabili. In un caso concreto, l’LLM ha individuato una conversazione tra un vicepresidente e un consulente esterno che conteneva frasi come "dobbiamo discutere la questione al di fuori dei canali ufficiali" e riferimenti a un conto bancario offshore: elementi sufficienti per un ricatto mirato.

Sono tutti esempi di come gli LLM possano automatizzare l’estrazione di dati altamente sensibili da grandi repository di dati, trasformando informazioni apparentemente innocue in armi potenti nelle mani dei cyber criminali.

Approccio alla difesa

Sebbene alcune delle tecniche descritte siano ancora oggi costose da applicare su larga scala, la riduzione dei costi e l’evoluzione tecnologica renderanno questi attacchi sempre più praticabili e diffusi. Da qui l’urgenza di sviluppare contromisure adeguate. Gli autori dello studio propongono un framework di difesa adattiva che combina diverse strategie, fra cui il filtraggio dinamico dei prompt che mira a rilevare e bloccare input malevoli prima che raggiungano l’LLM, così da impedirgli l’attivazione di comportamenti indesiderati.

Parallelamente è consigliato un monitoraggio comportamentale per analizzare in tempo reale le operazioni del modello e contestualmente identificare deviazioni dalle normali attività, senonché intervenire tempestivamente. Infine, l’isolamento contestuale è una misura utile a limitare l’accesso ai dati sensibili in base al ruolo dell’utente e al contesto operativo (una declinazione del principio del privilegio minimo), in modo da ridurre il rischio di esposizione accidentale o intenzionale. Un caso esposto nella ricerca dimostra come l’implementazione di un sistema di rilevamento delle anomalie abbia permesso di identificare il 92% dei tentativi di estrazione di dati sensibili dagli LLM, con un tasso di falsi positivi molto basso (3%).

Lo scenario esposto si collega direttamente alle analisi pubblicate su SecurityOpenLab riguardo le tecniche di jailbreak automatizzato, che evidenziano come si possa scalare la manipolazione dei modelli a livello industriale. Inoltre, come sottolineato nell’approfondimento su MITRE ATLAS, la mappatura delle tecniche di attacco e la standardizzazione delle difese diventano strumenti indispensabili nel nuovo panorama cyber.