Tim znanstvenika računalstva s University of Illinois Urbana-Champaign otkrio je da AI agenti, posebno OpenAI GPT-4, mogu neovisno iskoristiti sigurnosne ranjivosti u stvarnom svijetu. Ove ranjivosti, poznate kao ranjivosti jednog dana, označene su identifikatorom zajedničkih ranjivosti i otkrivača (CVE) koji opisuju njihove nedostatke.
Tim, koji je uključivao Richarda Fanga, Rohana Bindua, Akula Guptu i Daniela Kanga, sastavio je skup od 15 ranjivosti jednog dana. Pomoću opisa CVE-a, GPT-4 je uspješno iskoristio 87% ovih ranjivosti, što predstavlja veliku razliku u odnosu na stopu uspjeha od 0% ostalih modela i otvorenih skenera ranjivosti testiranih, uključujući GPT-3.5, otvorene modele velikih jezika, ZAP i Metasploit.
Ovo istraživanje nadovezuje se na prethodni rad koji je istraživao potencijal modela velikih jezika za automatizaciju napada na web stranice unutar kontroliranog okruženja. Daniel Kang ističe autonomne izvršne sposobnosti GPT-4 u obavljanju potrebnih koraka za određene eksploate koje bi inače ostale neotkrivene konvencionalnim skenerima.
Istraživanje je istaknulo da je značajan dio ranjivosti u skupu podataka ocijenjen kao “visoka” ili “kritična” ozbiljnost temeljem opisa CVE-a. Kada je riječ o praktičnosti, istraživači su procijenili da bi trošak uspješne eksploatacije agenta velikog jezika bio otprilike 8,80 dolara.
Povećanje stručnosti u modelima velikih jezika postavlja i prilike i sigurnosne prijetnje. Iako GPT-4 zahtijeva detaljne opise CVE-a kako bi postigao visoku stopu eksploatacije, njegova sposobnost autonomnog iskorištavanja ranjivosti bez takvih informacija nije zanemariva, iznosi 7%. To ukazuje na potrebu za mjerovitim pristupom u implementaciji naprednih agenata velikog jezika i njihovu integraciju u obrane kibernetičke sigurnosti.
Ključna pitanja i odgovori:
– Što čini saznanja o AI agentima i sigurnosnim ranjivostima značajnima?
Otkriće da AI agenti, poput OpenAI GPT-4, mogu autonomno iskoristiti ranjivosti jednog dana predstavlja značajan napredak u sposobnostima modela velikih jezika. To postavlja pitanja o potencijalnoj zloupotrebi takve AI tehnologije za cyber napade i potrebi za novim sigurnosnim mjerama.
– Koje su poteškoće povezane s tim saznanjima?
Poteškoće uključuju balansiranje razvoja AI sposobnosti s sigurnosnim zaštitama, osiguravanje odgovorne upotrebe AI tehnologije te ažuriranje sigurnosnih protokola kako bi se učinkovito zaštitili od cyber napada potaknutih AI-jem. Tu je i izazov suočavanja s etičkim implikacijama razvoja tehnologije koja se može koristiti u svrhe štetne po društvo.
– Postoje li kontroverze oko ovog teme?
Da, korištenje AI tehnologije u kibernetičkoj sigurnosti može biti predmet rasprave. Neki mogu tvrditi da razvoj takvih autonomnih sposobnosti u AI-u može dovesti do cyber utrke u naoružanju, dok drugi mogu zagovarati potencijal AI-a za poboljšanje sigurnosnih sustava.
– Koje su prednosti?
Prednost korištenja AI agenata poput GPT-4 u kibernetičkoj sigurnosti je njihova sposobnost prepoznavanja i iskorištavanja ranjivosti brže i preciznije nego tradicionalne metode. Mogu pomoći u testiranju sigurnosnih sustava pod stresom, što dovodi do poboljšanja i jačanja obrana protiv napada.
– Koje su mane?
Značajna mana je mogućnost da zlonamjerni pojedinci koriste AI agente za identifikaciju i iskorištavanje sigurnosnih ranjivosti u velikom opsegu. Osim toga, njihova upotreba može zaobići postojeće sigurnosne okvire koji nisu spremni za takve sofisticirane napade.
Povezani linkovi:
Za saznanja o AI-u i kibernetičkoj sigurnosti, razmotrite posjet sljedećim glavnim domenama:
– OpenAI
– Common Vulnerabilities and Exposures (CVE)
Napomena: Navedene poveznice prikazane su bez podstranica i provjerene su na ispravnost prilikom posljednje provjere.
The source of the article is from the blog papodemusica.com