Populariteit van AI-tools zoals OpenClaw in netwerkbeheer met kunstmatige intelligentie

Tijdens Cisco Live EMEA hebben we gemerkt dat er in het hele netwerk verschillende AI-tools werden gebruikt. Laten we eens kijken naar welke tools er in het netwerkverkeer te zien zijn.

Mijn interesse werd gewekt toen er een incident plaatsvond waarbij de Clawbot betrokken was. Dit incident is in de wachtrij voor XDR-incidenten terechtgekomen. Het incident is gegenereerd door beveiligingsintelligentiegebeurtenissen die zijn gedetecteerd door Cisco Secure Firewall. Het incident toont twee machines die verbonden zijn met het Clawbot-domein, die door de bedreigingsinformatie van Talos en alphaMountain.ai als kwaadaardig worden gemarkeerd. De klauwbot van overheersing[.]ai lijkt sterk op de naamgevingspatronen die worden gebruikt door legitieme AI-agenttools, waardoor de mogelijkheid ontstaat dat het een verkeerd gespeld domein is dat is ontworpen om de interesse van gebruikers in opkomende AI-platforms na te bootsen of te exploiteren.

Dit snelle onderzoek bracht mij ertoe een andere weg in te slaan en het gebruik van AI-tools in het netwerk te begrijpen. Om beter te begrijpen welke AI-tools het populairst zijn, besloot ik dieper in DNS-gegevens te duiken. DNS dient als basis voor bijna alle internetcommunicatie: voordat een apparaat verbinding kan maken met een in de cloud gehost AI-platform zoals ChatGPT, Claude of Copilot, moet het eerst de domeinnaam van de dienst omzetten. Dit maakt DNS een uitstekende, betrouwbare indicator van de intentie van de gebruiker, zelfs als de applicatie zelf gecodeerd is.

Bovendien verrijkt Cisco Umbrella de DNS-activiteit met beveiligingsinformatie en categorisering van inhoud, waardoor we niet alleen kunnen identificeren welke AI-platforms zijn geopend, maar ook trends, populariteit en potentiële risico’s kunnen begrijpen die verband houden met opkomende of verdachte AI-gerelateerde domeinen.

Om het gebruik van AI-tools op het netwerk te kwantificeren, hebben we gebruik gemaakt van Cisco Secure Access DNS-telemetrie die in Splunk is ingevoerd. DNS-logboeken bieden gedetailleerde gegevens over domeinomzettingsactiviteiten, inclusief het aangevraagde domein, bron-IP, ondernomen actie, beveiliging en Secure Access-inhoudscategorisatie. Onze analyse maakte gebruik van twee complementaire benaderingen.

Eerst hebben we DNS-gebeurtenissen opgevraagd die zijn geclassificeerd in de generatieve AI-classificatie van Secure Access om opkomende en long-tail AI-gerelateerde doelen te identificeren. Hierdoor konden we AI-diensten ontdekken die verder gaan dan bekende platforms en bredere trends op het gebied van generatieve AI-adoptie begrijpen.

Hier vindt u de Splunk-query en specifieke zoekresultaten van DNS Umbrella-gebeurtenissen die zijn geclassificeerd als generatieve AI.

De resultaten tonen de belangrijkste doeldomeinen op basis van DNS-gebeurtenissen en unieke clients. ChatGPT, Claude en Cursor lijken behoorlijk populair, zoals blijkt uit het aantal DNS-evenementen. Dit onderzoek bevraagt vijf dagen aan DNS-logboeken, wat een enorme hoeveelheid gegevens is. We kunnen dus alleen maar schatten dat generatieve AI-gerelateerde DNS-query’s minder dan 5% van de totale DNS-query’s op het netwerk uitmaken. We komen tot deze conclusie door dagelijks te kijken naar het totale aantal DNS-verzoeken dat is geclassificeerd als generatieve AI en dit te delen door het totale aantal DNS-verzoeken die dag en het gemiddelde te nemen over de vijf dagen van de conferentie. Het zal interessant zijn om te zien hoe dit aantal van conferentie tot conferentie verandert.

Ten tweede hebben we een samengestelde opzoektabel gemaakt van veelgebruikte AI-tooldomeinen, waaronder ChatGPT, Claude, Copilot, Gemini en anderen, en hebben we de zoekfunctionaliteit van Splunk gebruikt om DNS-query’s toe te wijzen aan specifieke AI-platforms. Hierdoor konden we het gebruik per platform aggregeren en zowel de totale DNS-activiteit als het aantal unieke clientsystemen dat met elke tool communiceerde, meten.

Hier is de exacte SPL met behulp van de opzoektabel en zoekresultaten.

Hieronder ziet u een grafiek van het gebruik van de AI-tool door DNS-verzoeken.

Van alle waargenomen tools was ChatGPT van OpenAI met een aanzienlijke marge de meest gebruikte AI-service. Meer dan 11.000 unieke clientsystemen ondervroegen ChatGPT-gerelateerde domeinen, waarmee ze de volgende meest populaire tools, Claude van Anthropic en Microsoft Copilot, ruimschoots overtroffen. Google Gemini heeft ook een aanzienlijke adoptie gekend, terwijl nieuwere of meer gespecialiseerde platforms zoals xAI Grok, Mistral en DeepSeek in kleinere maar nog steeds opmerkelijke aantallen zijn verschenen. De sterke aanwezigheid van Claude, Copilot en Gemini benadrukt de groeiende diversificatie in het AI-ecosysteem, vooral omdat leveranciers AI-mogelijkheden rechtstreeks integreren in productiviteitstools en ontwikkelingsworkflows.

Nu generatieve AI steeds meer wordt opgenomen in de dagelijkse workflows, moeten beveiligingsteams inzicht behouden in de manier waarop deze tools worden gebruikt, ervoor zorgen dat gebruikers interactie hebben met legitieme diensten en waakzaam blijven tegen kwaadaardige infrastructuur die zich voordoet als vertrouwde AI-platforms.

Uiteindelijk bevestigen de gegevens wat veel beveiligingsprofessionals anekdotisch hebben waargenomen: generatieve AI is niet langer experimenteel, maar wordt actief en op grote schaal gebruikt in echte zakelijke omgevingen. Cisco Live EMEA leverde een unieke momentopname van deze verschuiving, waarbij ChatGPT duidelijk naar voren kwam als het meest dominante AI-platform op basis van waargenomen DNS-activiteit. De vroege marktintroductie van ChatGPT, de sterke merkherkenning en de brede toepasbaarheid in alle gebruiksscenario’s, van codeerhulp tot zoeken en probleemoplossing, hebben ervoor gezorgd dat het voor veel gebruikers de standaard AI-assistent is.

We bleven ons volgen voor ons volgende evenement: de RSAC-conferentie in San Francisco.