- Эксперт по информационной безопасности из Cybernews выявил, что советы ИИ-ассистентов ChatGPT, Claude и Gemini могут ставить под угрозу безопасность домашней сети.
- ИИ рекомендовали раскрывать внутренние сервисы через открытые DNS-записи и порты, а также использовали уязвимые настройки, включая запуск от root и дефолтные пароли.
- Попытки решить проблему с помощью ИИ не улучшили ситуацию, а лишь усугубили риски; эксперт подчёркивает важность понимания архитектуры и методов защиты домашней сети.
Эксперт по информационной безопасности из Cybernews провёл исследование, в ходе которого проверил рекомендации популярных ИИ-ассистентов — ChatGPT, Claude и Gemini — касательно упрощения настройки и повышения безопасности домашней сети. Результаты оказались тревожными: многие советы чат-ботов содержали потенциально опасные для пользователей предложения, которые могли привести к серьёзным пробелам в защите сетевой инфраструктуры.
Исходная задача эксперта заключалась в организации централизованного доступа к панели управления и другим сервисам домашней инфраструктуры, построенной на типовом стеке с pfSense, TrueNAS и Proxmox. Основная идея — переход от IP-адресов к удобным доменным именам и замена небезопасных HTTP-соединений на защищённые TLS-сертификаты. Однако ИИ-помощники предложили, во-первых, опубликовать DNS-записи с привязкой поддоменов к домашнему IP-адресу, что автоматически открывало внутренние сервисы в интернет через стандартные порты 80 и 443. Подобное решение фактически сделало эти сервисы лёгкой мишенью для массовых сканеров и атак, что подчёркивает ошибочность такого подхода без соответствующих мер безопасности.
Кроме того, ИИ-системы не предложили распространённый и более безопасный метод выпуска wildcard-сертификатов с помощью DNS-01-челленджа, который позволяет обеспечить безопасность без открытых портов. При установке и настройке NGINX Proxy Manager, служащего для маршрутизации трафика и автоматического управления TLS-сертификатами, Gemini предложил скрипт с критическими уязвимостями: запуск контейнера от root и использование базы MariaDB с дефолтными аккаунтами. Подобные рекомендации являются рискованными и могут привести к компрометации всей домашней системы.
При возникновении проблем с контейнерами Debian в Proxmox ИИ отказались анализировать корни сбоев и просто советовали перейти на виртуальные машины с большим потреблением ресурсов, что не является оптимальным решением. Более того, ни один из чат-ботов не упомянул использование ACME-клиентов — стандартного способа выпуска сертификатов. Также отсутствовали разъяснения о том, что при работе через прокси внутри локальной сети трафик может оставаться незашифрованным без специальных настроек.
В итоге эксперт подчеркнул, что доверие к ИИ в вопросах настройки безопасности домашней сети без достаточных технических знаний может привести к серьёзным проблемам. Он отметил, что для понимания и правильной настройки достаточно обратиться к проверенным учебным материалам, например, видеоурокам на YouTube, и проявлять осмотрительность при применении рекомендаций ИИ.
