Они обнаруживают, что GPT-4 может использовать уязвимости нулевого дня, зная подробности CVE.

МАДРИД, 25 апр. (Порталтик/EP) –

Группа исследователей обнаружила, что GPT-4 обладает способностью выявлять уязвимости безопасности без необходимости внешней человеческой помощи и, кроме того, может использовать недостатки нулевого дня, зная общие уязвимости и риски (CVE).

Исследование, проведенное учеными из Университета Иллинойса в Урбане-Шампейне (США), показало, что модели большого языка (LLM) большой потенциал для выполнения действий со злонамеренными целями если ими манипулируют с этой целью.

В исследовании, опубликованном в репозитории АрксивРичард Фанг, Рохан Бинду, Акил Гупта и Дэниел Канг признают, что ранее были опубликованы исследования, показывающие способность этих моделей самостоятельно взламывать веб-сайты. Однако они пояснили, что эти исследования «ограничены простыми уязвимостями».

Таким образом, специалисты из этого университета решили собрать набор данных из 15 уязвимостей, отнесенных к категории критической серьезности в списке уязвимостей и распространенных уязвимостей, чтобы продемонстрировать, как против них действует агент, управляемый GPT-4.

Согласно их исследованиям, самая продвинутая версия этой модели способна эксплуатировать уязвимости безопасности в различных системах автономно, то есть без необходимости иметь внешнюю человеческую помощь.

Настолько, что GPT-4 смог эксплуатировать 87 процентов этих уязвимостей, в отличие от LLM GPT-3.5, который не смог этого сделать ни в одном из случаев, и сканеров Уязвимости ZAP и Metasploit с открытым исходным кодом.

Однако они согласились, что это стало возможным, поскольку эти недостатки имели полное описание CVE, которым GPT-4 воспользовался для их эксплуатации. Таким образом, без этой дополнительной информации модель смогла бы использовать только 7 процентов уязвимостей.

По мнению одного из исследователей Канга, охранные организации могли воздержитесь от публикации подробных отчетов об уязвимостях как о стратегии смягчения последствий, позволяющей злоумышленникам не воспользоваться ими, согласно мнению Регистр.

Однако, чтобы предотвратить использование киберпреступниками уязвимостей «нулевого дня» через GPT-4, этот ученый выступает за более активные меры безопасности, такие как регулярные обновления пакетов безопасности, для противодействия этим угрозам.