Jak umělá inteligence mění podobu kybernetických útoků: Rozhovor s Ami Luttwakem, hlavním technickým expertem Wiz

Kybernetická bezpečnost se odehrává především v rovině strategie a psychologické hry, jak zdůrazňuje Ami Luttwak, hlavní technický expert společnosti Wiz. S nástupem umělé inteligence (AI) se dynamika útoků dramaticky mění, protože útočníci i obránci začínají využívat AI nástroje k urychlení a zefektivnění svých operací. Zatímco firmy implementují AI, aby zrychlily vývoj a provoz, často dochází k kompromisům v bezpečnosti, které mohou útočníci využít.

Výrazným trendem je, že AI pomáhá vývojářům rychleji vytvářet software, často prostřednictvím tzv. vibe codingu, což jsou techniky bez nutnosti psaní tradičního kódu. Problém je, že pokud nejsou bezpečnostní prvky pečlivě nastaveny, vznikají nové zranitelnosti, například v autentizačních systémech. Luttwak upozorňuje, že automatizované nástroje plní pouze to, co jim vývojáři předepíší, a pokud nezohlední bezpečnost, vznikají díry, které mohou útočníci snadno využít.

Rychlost versus bezpečnost: Nové dilema firem v éře AI

Firmy dnes čelí náročné volbě mezi rychlým nasazením inovací a důkladnou bezpečností. Umělá inteligence totiž zrychluje vývoj i provoz, ale zároveň se díky ní rozšiřuje „povrch útoku“ – tedy počet potenciálních vstupních míst pro hackery. Útočníci navíc také používají AI, například k automatizaci vytváření škodlivého kódu nebo k hledání slabin v systémech obětí.

Příkladem je nedávný útok na startup Drift, který poskytuje AI chatboty pro marketing. Útočníci pomocí nástrojů vibe codingu získali přístup k citlivým datům klientů jako Google nebo Cloudflare díky zneužití autentizačních tokenů, čímž mohli napodobit chatboty a získat přístup k dalším korporátním systémům.

Luttwak rovněž upozorňuje na tzv. supply chain útoky, kdy je kompromitována třetí strana, která má přístup k infrastruktuře firmy, což umožní útočníkům proniknout hlouběji do systému. Příkladem byl útok „s1ingularity“ na JavaScriptový build systém Nx, kdy byl malware schopen detekovat AI nástroje vývojářů a využít je k vlastnímu průzkumu a krádeži dat z repozitářů GitHub.

Bezpečnost v AI startupu: Začít správně od prvního řádku kódu

Pro startupy, které chtějí uspět na poli AI, je nezbytné myslet na bezpečnost od samého začátku. Luttwak zdůrazňuje, že i malé týmy by měly mít od prvního dne bezpečnostní strategii a ideálně i CISO (Chief Information Security Officer). Tím se vyhnou „bezpečnostnímu dluhu“ – situaci, kdy je nutné později zásadně přepisovat a zabezpečovat kód, což je časově i finančně náročné.

Startupy by měly zavádět standardy jako auditní logy, silnou autentizaci, řízení přístupů a architekturu, která drží citlivá data v rámci infrastruktury zákazníka. Takový přístup zvyšuje šance na úspěch v konkurenčním prostředí a zároveň posiluje důvěru potenciálních obchodních partnerů, zejména ve velkých firmách.

Firma Wiz, která byla nedávno koupena Googlem za 32 miliard dolarů, nabízí sadu nástrojů na zabezpečení cloudových prostředí i softwarového vývoje s pomocí AI. Mezi jejich produkty patří například Wiz Code, který pomáhá detekovat bezpečnostní chyby již v rané fázi vývoje kódu, a Wiz Defend, který monitoruje a reaguje na hrozby v reálném čase.

Bezpečnost v době AI tak není jen o technologii, ale o komplexním přístupu a neustálém přizpůsobování se novým hrozbám. Každý, kdo pracuje s AI, musí počítat s tím, že útočníci jsou stejně rychlí a inovativní, a proto je potřeba bezpečnost plánovat komplexně a kontinuálně.

Vývoj v oblasti AI a kybernetické bezpečnosti je rychlý a dynamický. Pro neziskové organizace, firmy i startupy to znamená, že bezpečnostní strategie musí být součástí každého kroku, od návrhu produktu až po jeho provoz. Investice do bezpečnosti se vyplatí nejen z hlediska ochrany dat, ale i důvěry veřejnosti a obchodních partnerů.

Pro více o bezpečnosti AI můžete také navštívit například náš článek Jak AI bojuje proti zneužívání: Inovativní přístupy k bezpečnosti a zodpovědnému nasazení.

„Hra je otevřená,“ uzavírá Ami Luttwak. „Pokud každá oblast bezpečnosti čelí novým útokům, musíme přehodnotit každý její aspekt a být vždy o krok napřed.“

Tento pohled je výzvou i příležitostí pro všechny, kdo chtějí využívat AI bezpečně a efektivně. Budoucnost kybernetické bezpečnosti bude nepochybně úzce spjata s vývojem umělé inteligence – a kdo se na tuto realitu připraví včas, bude mít náskok před hrozbami i konkurencí.