یک پژوهشگر امنیتی با مدل Claude Opus 4.7 آنتروپیک توانست به سایت فرانتگیت نفوذ کند و بلیتهای رایگان جشنوارههای موسیقی را بهدست آورد. وقتی صحبت از هک با ابزارهای هوش مصنوعی میشود معمولاً ذهنمان سمت سناریوهای تاریک مانند سرقت کد پرتاب موشک هستهای یا خالیشدن ذخایر بانکها میرود. اما در واقعیت سناریوهای محتملتری رخ میدهند که یکی از آنها درخواست از هوش مصنوعی برای نفوذ به یک وبسایت بلیتفروشی و دریافت بلیتهای رایگان است. یک پژوهشگر امنیتی بهتازگی همین کار را انجام داد و توانست با کمک هوش مصنوعی، کنترل یکی از بزرگترین پلتفرمهای بلیتفروشی جهان را به دست بگیرد. به گزارش وایرد، «ایان کارول» (Ian Carroll)، پژوهشگر امنیتی و مدیر استارتاپ Seats.aero، در ماه آوریل با استفاده از مدل هوش مصنوعی Claude Opus 4.7 توانست به سیستمهای شرکت Front Gate Tickets نفوذ کند. این شرکت که زیرمجموعه کمپانی بزرگ Live Nation Entertainment محسوب میشود، مدیریت بلیتفروشی تقریباً تمام جشنوارههای موسیقی بزرگ آمریکا از جمله Lollapalooza و Austin City Limits را برعهده دارد. کارول متوجه شد که با استفاده از یک باگ در این وبسایت، میتواند به اطلاعات میلیونها مشتری دسترسی پیدا کند و بلیتهای چند هزار دلاری را بهسادگی برای خود صادر کند. او درباره این تجربه عجیب میگوید که مشاهده یک بلیت ۴۰۰۰ دلاری و امکان صدور نامحدود آن فقط با یک کلیک، بسیار شگفتانگیز بود. او در آن لحظه میتوانست بدون هیچ محدودیتی بلیتهای گرانقیمتترین رویدادها را برای خود ثبت کند. نقش هوش مصنوعی Claude در هک سایت فروش بلیت داستان از جایی شروع شد که کارول قصد داشت برای جشنواره موسیقی Electric Daisy Carnival در زادگاهش لاسوگاس بلیت تهیه کند. او متوجه شد که شرکت فرانت گیت انحصار بلیتفروشی اکثر جشنوارههای بزرگ را در اختیار دارد و تصمیم گرفت سیستمهای آنها را بررسی کند. او یک آسیبپذیری SQL injection را در این سایت کشف کرد، اما فایروال برنامه تحت وب مانع از اجرای دستورات او میشد. در اینجا بود که کارول از مدل هوش مصنوعی کلود اوپوس ۴.۷ کمک گرفت. این ابزار هوش مصنوعی یک تکنیک هک را کدنویسی کرد که فایروال سایت را دور میزد. این تکنیک به او اجازه داد تا به پایگاه دادهای شامل ۵۰۰ دیتابیس از اطلاعات مشتریان شامل نام، ایمیل و آدرس پستی و همچنین دادههای کارمندان دسترسی پیدا کنند؛ هرچند اطلاعات کارتهای اعتباری در این بخش وجود نداشت. کارول پس از دسترسی به دادههای کارمندان، به راحتی یک حساب کاربری با دسترسی مدیر ارشد را پیدا کرد. او روی گزینه بازنشانی رمز عبور کلیک کرد و از آنجایی که به پایگاه داده سایت دسترسی داشت، توانست کد بازنشانی را که سیستم به ایمیل مدیر فرستاده بود، از داخل کدهای بکاِند بخواند. او با واردکردن این کد، رمز عبور جدیدی تنظیم کرد و کنترل کامل حساب مدیر را به دست گرفت. این پژوهشگر امنیتی سپس گرانترین بلیتهای جشنواره Bonnaroo را پیدا کرد و آنها را به عنوان بلیتهای رایگان مهمان به سبد خرید خود افزود. البته او برای جلوگیری از عبور از خطوط قرمز قانونی و متهمشدن به کلاهبرداری، این سفارش را نهایی نکرد. کارول از این موضوع شگفتزده شد که هیچ سیستم احراز هویت دومرحلهای در این پلتفرم وجود نداشت و هر کسی با داشتن یک رمز عبور ساده میتوانست صدها بلیت رایگان صادر کند. کارول این آسیبپذیری خطرناک را به مدیران شرکت فرانت گیت گزارش داد. این شرکت در پاسخ به رسانهها اعلام کرد که مشکل را در کمتر از ۲۴ ساعت برطرف کرده است و هیچ شواهدی مبنیبر سوءاستفاده یا به خطر افتادن اطلاعات مشتریان وجود ندارد. از سوی دیگر، آنتروپیک نیز اعلام کردند که کارول عضو برنامه تأییدیه سایبری این شرکت است. این برنامه به پژوهشگران امنیتی تأییدشده اجازه میدهد تا برای ایمنسازی کدها از تواناییهای پیشرفته هوش مصنوعی استفاده کنند. به گفته آنتروپیک، که اگر کارول عضو این برنامه نبود، سیستمهای امنیتی آنتروپیک درخواست او را برای هککردن سایت شناسایی و مسدود میکردند.