Hva skjer når en KI-orm slutter å være avhengig av et sky-API for å resonnere? Forskere ved University of Torontos CleverHans Lab bygde en proof-of-concept som kjører hele resonneringen på en lokalt hostet open-weight-modell på én enkelt GPU, uten OpenAI eller Anthropic i loopen. I 15 testkjøringer på et nettverk med 33 maskiner fant ormen i snitt 31,3 sårbarheter, fikk forhøyet tilgang på 23,1 av maskinene og replikerte seg til 20,4 av dem i løpet av sju dager.
Metoden er det interessante. I stedet for ferdigkodede exploits genererer ormen en egen angrepsstrategi for hvert mål, og den utnyttet sårbarheter som ble offentliggjort etter modellens treningskutt. Infiserte GPU-maskiner blir distribuerte resonneringsnoder, og ormen nådde opptil sju generasjoner med selvreplikering (i snitt 5,1). Arbeidet er ledet av førsteamanuensis Nicolas Papernot, med deltakere fra Vector Institute, University of Cambridge og ServiceNow.
Poenget for deg som følger lokale modeller: når resonneringen kjører lokalt, finnes det ingen leverandør som kan trekke i en nødbryter. Det fjerner en kontrollmekanisme mange har antatt skulle begrense agentisk skadevare, og ormen demonstrerte i tillegg gjenbruk av legitimasjon og evne til å skrive om sin egen kode for å omgå sikkerhetskontroller. Dette er fortsatt et forskningsoppsett, ikke noe observert i naturen.
Hva bør du gjøre?
- Segmenter GPU-maskiner som kjører lokale modeller fra resten av nettverket, så en kompromittert node ikke blir en resonneringsnode for videre spredning.
- Behandle lokal inferens som en angrepsflate på linje med sky-API, med egen tilgangskontroll og logging.
- Roter legitimasjon jevnlig og unngå gjenbruk på tvers av maskiner, siden ormen utnyttet nettopp gjenbruk.