Агентите с изкуствен интелект, оборудвани с GPT-4, могат да използват повечето публични уязвимости, които днес засягат реални системи, като просто прочетат за тях в интернет.

Нови открития от Университета на Илинойс в Урбана-Шампейн (UIUC) заплашват да съживят радикално това, което беше малко бавно през 18-те месеца в областта на киберзаплахите, свързани с изкуствения интелект (ИИ). Досега участниците в заплахите използваха големи езикови модели (LLM) за изготвяне на фишинг имейли, както и на някои основни зловредни програми, и за подпомагане на по-спомагателни аспекти на кампаниите си. Сега обаче, само с GPT-4 и рамка с отворен код, която да го пакетира, те могат да автоматизират експлоатирането на уязвимостите, веднага щом те се появят в пресата.

„Не съм сигурен дали нашите казуси ще помогнат да се информираме как да спрем заплахите“, признава Даниел Канг, един от изследователите. „Смятам обаче, че киберзаплахите само ще се увеличават, така че организациите трябва силно да обмислят прилагането на най-добрите практики за сигурност.“

GPT-4 срещу CVE

За да прецени дали GPT може да експлоатира реални системи, екипът от четирима изследователи от UIUC първо се нуждаеше от обект за изпитване.

Техният LLM агент се състоеше от четири компонента: подкана, базов LLM, рамка – в този случай ReAct, реализирана в LangChain – и инструменти като терминал и интерпретатор на код.

Агентът беше тестван върху 15 известни уязвимости в софтуер с отворен код (OSS). Сред тях са: грешки, засягащи уебсайтове, контейнери и пакети Python. На осем от тях бяха дадени „високи“ или „критични“ оценки за сериозност по CVE. Имаше 11, които бяха разкрити след датата, на която GPT-4 е бил обучен, което означава, че това ще бъде първият път, когато моделът е бил изложен на тях.

Имайки на разположение само техните препоръки за сигурност, агентът с изкуствен интелект получи задачата да експлоатира всеки бъг последователно. Резултатите от този експеримент очертаха ярка картина.

От 10-те оценени модела – включително GPT-3.5, Meta’s Llama 2 Chat и други – девет не успяха да хакнат дори една уязвимост.

GPT-4 обаче успешно експлоатира 13, или 87% от общия брой.

Той се провали само два пъти по съвсем обикновени причини. CVE-2024-25640, проблем с оценка 4,6 по CVSS в платформата за реагиране на инциденти Iris, оцеля невредим поради странност в процеса на навигация в приложението на Iris, с която моделът не можа да се справи. Междувременно изследователите предполагат, че GPT-4 се е разминал с CVE-2023-51653 – грешка с оценка 9,8 „критичен“ в инструмента за наблюдение Hertzbeat, защото описанието ѝ е написано на китайски език.

Както обяснява Канг, „GPT-4 превъзхожда широк кръг от други модели при много задачи. Това включва стандартни бенчмаркове (MMLU и др.). Също така изглежда, че GPT-4 е много по-добър в планирането. За съжаление, тъй като OpenAI не е публикувала подробности за обучението, не сме сигурни защо“.

GPT-4 е добър

Колкото и заплашителни да са злонамерените GPT-4 Канг казва: „В момента това не отключва нови възможности, които експертният човек не би могъл да направи. Поради това смятам, че е важно организациите да прилагат най-добрите практики за сигурност, за да избегнат хакерски атаки, тъй като тези агенти с изкуствен интелект започват да се използват по по-злонамерен начин.“

Ако хакерите започнат да използват LLM агенти за автоматично експлоатиране на публични уязвимости, компаниите вече няма да могат да седят и да чакат, за да поправят новите грешки (ако изобщо някога са го правили). И може да им се наложи да започнат да използват същите LLM технологии, както ще го направят и техните противници.

Но дори GPT-4 все още има да извърви известен път, преди да се превърне в съвършен помощник по сигурността, предупреждава Хенрик Плейт, изследовател по сигурността за Endor Labs. В неотдавнашни експерименти Плейт възложи на ChatGPT и на изкуствения интелект Vertex на Google да идентифицират образци на ООС като злонамерени или доброкачествени и да им определят оценки на риска. GPT-4 се представи по-добре от всички останали модели, когато ставаше въпрос за обяснение на изходния код и предоставяне на оценки за четлив код, но всички модели дадоха редица фалшиви положителни и фалшиви отрицателни резултати.

Например забулването беше голям проблем. „За LLM много често изглеждаше така, сякаш [кодът] е умишлено забулен, за да се затрудни ръчният преглед. Но често той просто е бил намален по размер за легитимни цели“, обяснява Плейт.

„Въпреки че оценката, базирана на LLM, не трябва да се използва вместо ръчните прегледи – пише Плейт в един от докладите си, – те със сигурност могат да се използват като един допълнителен сигнал и входни данни за ръчните прегледи. По-специално, те могат да бъдат полезни за автоматичен преглед на по-голям брой сигнали за злонамерен софтуер, произведени от шумови детектори (които иначе рискуват да бъдат напълно игнорирани в случай на ограничени възможности за преглед).“