Ostatnia aktualizacja 24 kwietnia, 2024
Niedawne badania przeprowadzone przez naukowców z University of Illinois Urbana-Champaign (UIUC) ujawniły możliwości najnowszych modeli językowych w zakresie wykorzystywania luk bezpieczeństwa, zwanych zero-day. GPT-4, najbardziej zaawansowany komercyjny model językowy opracowany przez OpenAI, może wykorzystywać luki bezpieczeństwa, analizując szczegóły usterki.
Model językowy może wykorzystywać luki w zabezpieczeniach
Badanie przeprowadzone przez czterech naukowców z University of Illinois Urbana-Champaign (UIUC) miało na celu poszerzenie wiedzy na temat możliwości wykorzystania chatbotów do przeprowadzania automatycznych ataków komputerowych. W ich eksperymencie GPT-4 okazał się zdolny do wykorzystania 87% z testowanych podatności zero-day, podczas gdy inne modele, takie jak GPT-3.5, nie osiągnęły żadnych sukcesów. Badacze skupili się na zestawie 15 rzeczywistych podatności, w tym problemach z witrynami internetowymi, oprogramowaniem do zarządzania kontenerami i podatnymi pakietami Pythona, które miały różne poziomy krytyczności, od średnich po wysokie. Więcej niż połowa z tych podatności została oceniona jako mająca wysoki lub krytyczny poziom zagrożenia w ich opisach CVE. Co istotne, w momencie przeprowadzenia testów nie istniały żadne poprawki ani łatki dla tych podatności.
Zobacz: W branży cyber security praca czeka na specjalistów. Jak ją znaleźć?
Asystent profesora, Daniel Kang z UIUC, podkreślił, że GPT-4 może samodzielnie wykorzystywać luki zero-day, nawet gdy tradycyjne narzędzia skanujące nie są w stanie ich wykryć. Z uwagi na to, że OpenAI pracuje nad kolejną wersją, GPT-5, Kang przewiduje, że modele językowe mogą stać się łatwo dostępnymi narzędziami umożliwiającymi nawet niedoświadczonym hakerom oraz entuzjastom automatyzacji prowadzenie cyberataków.
Skuteczne wykorzystanie publicznie ujawnionych luk zero-day przez GPT-4 wymaga jednak dostępu do kompletnych opisów CVE i dodatkowych informacji zawartych w osadzonych linkach. Bez tak szczegółowego opisu, skuteczność GPT-4 drastycznie spada do zaledwie 7%. Kang sugeruje jako jedną z metod łagodzenia zagrożeń, by organizacje zajmujące się bezpieczeństwem unikały publikowania szczegółowych raportów o podatnościach, co mogłoby ograniczyć możliwości ich wykorzystania przez GPT-4.
Zobacz: ChatGPT może być pomocny w walce z hakerami
Daniel Kang opowiada się za stosowaniem bardziej proaktywnych środków bezpieczeństwa, takich jak regularne aktualizacje oprogramowania, aby lepiej przeciwdziałać zagrożeniom pochodzącym od nowoczesnych, “uzbrojonych” chatbotów.
Mamy nadzieję, że nasze odkrycia zachęcą wdrażających i twórców LLM do rozważenia ich podwójnego zastosowania
Daniel Kang, asystent profesora na UIUC
AI stwarza nowe wyzwania dla cyberbezpieczeństwa
Modele językowe, takie jak ChatGPT, mogą stać się kolejnym powodem do zmartwień w dziedzinie cyberbezpieczeństwa, zgodnie z najnowszymi ustaleniami badaczy. Skuteczność GPT-4 w zakresie wykorzystywania podatności zero-day stanowi wyzwanie dla tradycyjnych metod zabezpieczeń i wymusza refleksję nad przyszłym kierunkiem rozwoju sztucznej inteligencji.
Okazuje się, że potencjał wykorzystania modeli językowych w cyberatakach jest na ten moment większy, niż przypuszczano. Dlatego niezbędne jest zintegrowanie silnych zabezpieczeń w projektowaniu i wdrażaniu tych technologii. Dyskusja o etycznych aspektach wykorzystania AI w cyberbezpieczeństwie ma szansę na większy rozgłos.
Dziękujemy, że przeczytałaś/eś nasz artykuł. Obserwuj EnterTheCode.pl w Wiadomościach Google, aby być na bieżąco.
