Vibe hacking to określenie, które narodziło się wraz z rozwojem vibe codingu – czyli stylu programowania opartym na szybkim generowaniu kodu przy pomocy AI. W przypadku vibe hacking chodzi jednak o wykorzystanie tych samych narzędzi do tworzenia złośliwego oprogramowania i ataków – przez amatorów, ale i doświadczonych hakerów – bez konieczności posiadania dogłębnej wiedzy technicznej.
Narzędzia takie jak WormGPT, FraudGPT oraz XBOW umożliwiają generowanie exploitów, malware, skomplikowanych kampanii phishingowych i ransomware za pomocą samych promptów – często wystarczy wpisać, czego się oczekuje, a AI wygeneruje działający kod.
Vibe hacking – ale że to tak serio?
Oto cztery cechy, które sprawiają, że vibe hacking rzeczywiście może stanowić zagrożenie:
- niski próg wejścia dla atakujących – nawet osoby nie mające doświadczenia z kodowaniem mogą „oszukać” AI, aby wygenerowało gotowy exploit czy phishingowy landing page;
- potęgowanie działań hakerów – profesjonaliści mogą używać AI do szybszego tworzenia i ewoluowania złośliwego oprogramowania – np. autonomicznych „AI worms” czy ataków zero-day na dużą skalę
- eskalacja automatyczna – XBOW, czyli AI do automatycznego wykrywania i eksploatacji błędów, już dziś osiągnęło sukcesy w 75% testów na platformach typu HackerOne
- nowy etap wyścigu zbrojeń cybernetycznych – złoża generatywnego AI stają się nowym frontem: z jednej strony boty hakerskie, z drugiej – AI do obrony. Ataki mogą stać się bardziej wyrafinowane, szybkie i trudne do przewidzenia.
Nie jesteśmy bezbronni
Pojawiły się już pierwsze eksperckie zalecenia, mające na celu nie tylko podniesienie naszej świadomości w obszarze tego zagrożenia, ale również niosące ze sobą praktyczne porady, mogące uchronić lub przynajmniej zminimalizować ryzyko vibe hackingu:
- automatyczne ataki przez AI – wdrożyć systemy AI do obrony, czyli automatyczne skanery kodu, CI/CD, testy penetracyjne, rozwiązania typu XBOW;
- phishing i deepfake – szkolenia świadomościowe, weryfikacja głosowa, procedury potwierdzania autentyczności komunikacji;
- jailbreak modeli LLM – zacząć wymagać u dostawców AI silnych zabezpieczeń, uczestniczyć w bug bounty, ostrożnie korzystać z publicznych LLM;
- bezpieczeństwo na etapie kodu – implementacja statycznej analizy kodu, wdrażanie secure coding practices, przeglądy kodu;
- monitorowanie zagrożeń – utrzymanie działu SOC (Security Operations Center), śledzenie informacji (threat intelligence), uczestnictwo w inicjatywach typu CyberGym – benchmarki do testowania AI.
Wygląda więc na to, że vibe hacking to nie tylko kolejna nazwa na AI-hacking. To coś więcej: etap, w którym cyberprzestępcy oraz amatorzy mogą w kilka minut stworzyć skuteczne, trudne do wykrycia ataki. Co gorsza – dla doświadczonych hakerów AI to narzędzie szybkiego powielania i skalowania działań. Także i na tym etapie warto przypomnieć, że w walce z AI hackingiem kluczowe stają się:
- automatyzacja obrony z użyciem AI;
- proaktywne testy i audyty;
- budowanie świadomości oraz edukacja w organizacjach;
- ścisła współpraca między działami IT, cybersecurity i zarządem.
W nowym zimnowojennym krajobrazie cyfrowym warto pamiętać: dobry hacking z AI musi spotkać lepszy AI służący do obrony.
