- Popularitas Agen AI semakin meroket – dan situs-situs mengakomodasi mereka
- Artinya mereka terpaksa juga mengakomodasi ‘bot jahat’
- Situs harus memperketat keamanan untuk melindungi diri mereka sendiri dan pengguna
AI hadir dalam berbagai bentuk, dan yang mendominasi dunia teknologi saat ini adalah agen AI, yang berkembang dengan cepat, sering kali melampaui langkah-langkah keamanan yang diterapkan untuk mengendalikan mereka – namun itu hanya satu sisi dari cerita, karena tim keamanan tidak hanya memiliki agen-agen jahat namun sah yang menimbulkan risiko keamanan, tetapi juga agen-agen palsu.
Baru riset dari Radware mengungkapkan bot jahat ini menyamar sebagai chatbot AI sungguhan dalam mode agen, seperti ChatGPT, Claude, dan Gemini – semuanya adalah ‘bot baik’ yang, yang terpenting, memerlukan izin permintaan POST untuk kemampuan transaksi apa pun seperti memesan hotel, membeli tiket, dan menyelesaikan transaksi – semuanya penting untuk penggunaannya yang diiklankan.
Agen yang sah dapat berinteraksi dengan komponen halaman web seperti dasbor akun, portal login, dan proses checkout – yang berarti situs web kini harus mengizinkan permintaan POST dari bot AI untuk mengakomodasi agen yang sah ini.
Hanya membaca, tidak pernah menulis
Permasalahannya di sini adalah sebelumnya, asumsi mendasar dalam keamanan siber adalah ‘bot yang baik hanya membaca, tidak pernah menulis’. Hal ini melemahkan keamanan bagi pemilik situs, karena pelaku kejahatan dapat lebih mudah menipu agen yang sah, karena mereka memerlukan izin situs web yang sama.
Lalu lintas agen AI yang sah sedang melonjak, sehingga semakin besar kemungkinan bot palsu ini bisa lolos tanpa terdeteksi. Tentu saja, yang paling banyak terkena dampak adalah industri yang berisiko tinggi; keuangan, e-niaga, layanan kesehatan, dan juga perusahaan tiket/perjalanan yang dirancang khusus untuk digunakan oleh agen AI.
Semua Chatbot menggunakan metode identifikasi dan verifikasi yang berbeda, sehingga semakin mempersulit tim keamanan untuk mendeteksi lalu lintas berbahaya – dan lebih mudah bagi pelaku ancaman yang hanya akan menyamar sebagai agen dengan standar verifikasi paling lemah.
Para peneliti merekomendasikan penerapan kebijakan zero-trust untuk permintaan perubahan negara, seperti menerapkan tantangan yang tahan terhadap AI seperti CAPTCHA tingkat lanjut. Mereka juga merekomendasikan untuk memperlakukan semua agen pengguna sebagai standar yang tidak dapat dipercaya, dan menerapkan pemeriksaan berbasis DNS dan IP yang kuat untuk memastikan alamat IP cocok dengan identitas yang diklaim bot.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
Perlindungan pencurian ID terbaik untuk semua anggaran
