(SeaPRwire) –   Ketika insinyur perangkat lunak duduk untuk mengendalikan robot vacuum baru DJI Romo-nya dengan pengontrol video game PlayStation 5, dia tidak mengharapkan untuk secara tidak sengaja mengambil alih jaringan pengawasan global. Menggunakan asisten coding AI untuk merekayasa balik bagaimana vacuum berkomunikasi dengan server jarak jauh DJI, Azdoufal mengekstrak token keamanan yang dimaksudkan untuk membuktikan kepemilikan atas perangkat spesifiknya. Sebagai gantinya, sebagai , server backend memperlakukannya sebagai pemilik hampir 7.000 robot vacuum yang beroperasi di 24 negara.

Dengan beberapa ketukan tombol, Azdoufal menemukan bahwa dia dapat mengakses umpan kamera langsung, mengaktifkan mikrofon, dan bahkan menyusun denah lantai 2D dari rumah pribadi orang asing. Meskipun dia melaporkan bug keamanan tersebut secara bertanggung jawab () daripada mengeksploitasinya, kerentanan yang mengejutkan ini menyoroti realitas yang menakutkan: Integrasi sistem otomatis yang cepat dan tidak terkendali menciptakan celah keamanan yang masif dan belum pernah terjadi sebelumnya.

Jutaan orang Amerika semakin menyambut perangkat yang terhubung internet ini ke ruang paling pribadi mereka. Sekitar 54 juta rumah tangga di AS memiliki setidaknya satu perangkat rumah pintar yang terpasang pada tahun 2020, . Selain itu, perusahaan-perusahaan seperti , Figure, dan 1X berlomba-lomba memperkenalkan yang canggih, mampu hidup di rumah dan melakukan tugas-tugas rumit.

Kemampuan pengawasan perangkat pintar menjadi topik pembicaraan nasional awal tahun ini, ketika di cloud tentang penculikan dugaan Nancy Guthrie, ibu dari pembawa acara acara Today Savannah Guthrie. Tak lama setelah itu, diikuti oleh iklan Super Bowl untuk produk Ring-nya, yang dimaksudkan sebagai penyelamatan menggemaskan untuk anjing yang hilang tetapi sebenarnya mengungkapkan bahwa kamera yang terjaring mampu memata-matai orang Amerika ada di mana-mana. Reaksi balik tampaknya dengan firma pengawasan polisi. Setelah Anda menambahkan agen AI otonom ke dalam campuran ini, Anda memiliki apa yang digambarkan oleh raksasa siber Thales sebagai skenario mimpi buruk yang sedang tumbuh.

Skenario mimpi buruk di sudut pandang

Menurut , 70% organisasi kini secara eksplisit menyebut AI sebagai risiko keamanan data teratas mereka. Dan sama seperti vacuum DJI yang mengandalkan server cloud jarak jauh, perusahaan dengan bersemangat menyematkan AI ke dalam alur kerja harian mereka, memberikan sistem otomatis akses luas ke data perusahaan yang luas.

Masalah utamanya adalah kurangnya visibilitas dan kontrol data fundamental yang mengejutkan. mengungkapkan hanya 34% organisasi yang benar-benar tahu di mana semua data sensitif mereka berada. Dan karena sistem AI terus menyerap dan bertindak atas informasi di seluruh lingkungan cloud yang luas, sangat sulit untuk menegakkan “akses hak istimewa terendah”, atau praktik pemberian hak akses minimum yang diperlukan. Jika kredensial mesin—seperti token atau kunci API—dikompromikan, paparan data yang dihasilkan bisa sangat merusak.

Faktanya, pencurian kredensial saat ini adalah teknik serangan utama terhadap infrastruktur manajemen cloud, dikutip oleh 67% organisasi yang telah menderita serangan cloud. Bayangkan 7.000 pembersih vacuum robotik, tetapi perangkat Nest atau Ring seluruh komunitas, dikendalikan oleh agen AI sebagai gantinya.

Rodney Brooks, salah satu pendiri iRobot, pencipta vacuum Roomba pencipta visi Elon Musk tentang masa depan yang didukung oleh robot humanoid adalah ,” karena mereka terlalu canggung.

“Robot humanoid hari ini tidak akan belajar bagaimana menjadi terampil meskipun ratusan juta, atau mungkin miliaran dolar, disumbangkan oleh VC dan perusahaan teknologi besar untuk membayar pelatihan mereka,” tulis Brooks dalam sebuah . Tidak jelas apakah pemikiran itu meluas ke manusia atau agen AI yang mengontrol robot itu dari jarak jauh.

“Risiko dari dalam tidak lagi hanya tentang manusia. Ini juga tentang sistem otomatis yang yang terlalu cepat dipercaya,” peringatkan Sebastien Cano, wakil presiden senior produk keamanan siber di Thales. Ketika langkah-langkah keamanan dasar seperti tata kelola identitas dan kebijakan akses lemah, Cano mencatat “AI dapat memperkuat kelemahan tersebut di seluruh lingkungan perusahaan jauh lebih cepat daripada yang pernah dilakukan manusia.”

Memperburuk keadaan, alat yang digunakan untuk membangun perangkat lunak menurunkan hambatan masuk untuk mengeksploitasi sistem ini. Alat coding bertenaga AI—seperti yang digunakan Azdoufal untuk dengan mudah merekayasa balik server DJI—membuatnya jauh lebih mudah bagi individu dengan pengetahuan teknis yang lebih sedikit untuk menemukan dan mengeksploitasi kekurangan perangkat lunak. Meskipun ada ancaman otomatis yang meningkat ini, hanya 30% perusahaan yang disurvei saat ini memiliki anggaran keamanan AI khusus, mengandalkan pertahanan perimeter tradisional yang dibangun untuk pengguna manusia.

Sebagaimana ditunjukkan oleh Eric Hanselman, kepala analis di 451 Research milik S&P Global, pergeseran paradigma fundamental sangat diperlukan.

“Ketika AI menjadi tertanam secara mendalam dalam operasi perusahaan, visibilitas dan perlindungan data yang berkelanjutan tidak lagi menjadi opsional,” kata Hanselman.

Tanpa pemikiran ulang yang radikal tentang protokol identitas dan enkripsi, masyarakat pada dasarnya membiarkan pintu depan terbuka lebar untuk insinyur perangkat lunak berikutnya secara kiasan dengan pengontrol video game.