Nowoczesne technologie sztucznej inteligencji mogą pomóc hakerom zautomatyzować wykorzystywanie publicznie dostępnych luk w zabezpieczeniach w ciągu kilku minut. Oznacza to, że w najbliższej przyszłości szybkie aktualizacje oprogramowania staną się co najmniej pilną koniecznością.
Jak wynika z nowego badania (PDF) przeprowadzonego przez naukowców z Uniwersytetu Illinois w Urbana, systemy AI oparte na sieci neuronowej OpenAI GPT-4 są w stanie tworzyć exploity dla większości luk w zabezpieczeniach, po prostu analizując informacje na ich temat w Internecie. -Champaign (USA). Do tej pory napastnicy używali dużych modeli językowych do pisania wiadomości e-mail phishingowych i złośliwego oprogramowania o podstawowych możliwościach. Teraz, dzięki dostępowi do GPT-4 i otwartym frameworkom do pakowania rozwiązań programowych, mogą zautomatyzować pisanie exploitów dla luk w zabezpieczeniach, gdy tylko informacje o tych lukach staną się publicznie dostępne.
Aby przetestować hipotezę, naukowcy przygotowali zestaw narzędzi składający się z następujących komponentów: podstawowej sieci neuronowej, narzędzia do tworzenia zapytań do niej, frameworku (w tym przypadku było to narzędzie ReAct frameworku LangChain), a także terminal i interpreter kodu. Tak skonfigurowany agent został przetestowany pod kątem 15 znanych luk w oprogramowaniu open source. Należą do nich błędy wpływające na strony internetowe, kontenery i pakiety Pythona. Osiem z nich miało „wysoką” lub „krytyczną” ocenę CVE. Jedenaście zostało ujawnionych po przeszkoleniu GPT-4, co oznacza, że sztuczna inteligencja została im przedstawiona po raz pierwszy. Systemowi polecono opracować exploity dla każdej luki jeden po drugim, po zapoznaniu się z ich opisami. Wyniki eksperymentu były rozczarowujące.
Oceniono łącznie dziesięć modeli sztucznej inteligencji, w tym OpenAI GPT-3.5, Meta✴ Llama 2, a dziewięć z nich nie było w stanie zhakować żadnego z podatnych na ataki produktów. Jednak sieć neuronowa GPT-4 oferowała 13 skutecznych exploitów, co stanowi 87% całkowitej liczby znanych luk. Dwie awarie GPT-4 mają proste wyjaśnienia. Luka CVE-2024-25640 (ocena 4,6 z 10) dotyczy platformy reagowania na incydenty Iris i model po prostu nie mógł zrozumieć nawigacji w aplikacji. Niewykorzystanie luki CVE-2023-51653 (ocena krytyczna 9,8 z 10) w narzędziu monitorującym Hertzbeat nastąpiło, ponieważ opis tej luki został podany w języku chińskim.
W świetle wyników swoich badań naukowcy doszli do wniosku, że kwestie cyberbezpieczeństwa stają się dziś bardziej istotne niż kiedykolwiek: administratorzy w firmach wkrótce nie będą już czekać na wypuszczenie łatek korygujących luki, ale raczej będą wykorzystywać te same technologie sztucznej inteligencji do ochrony systemów jako potencjalny przeciwnik. Jednak sztuczna inteligencja nie jest jeszcze w tym wystarczająco dobra, przekonują się eksperci z Endor Labs – przeprowadzili eksperyment, zlecając kilku modelom sztucznej inteligencji zbadanie szeregu projektów open source w celu ustalenia, czy odpowiadające im produkty są złośliwe lub bezpieczne. GPT-4 ponownie okazał się najlepszy: w większości poprawnie wyjaśnił zasady kodu, ale podobnie jak jego „koledzy” dał kilka fałszywie pozytywnych i fałszywie negatywnych ocen w ocenie jego bezpieczeństwa. W szczególności nazwała świadomie zoptymalizowany kod celowo zaciemnionym, czyli zaciemnionym.
