GPT-4 διαβάζει CVE και κάνει exploit σε 0day

Ένα τουλάχιστον bot τεχνητής νοημοσύνης, από τα μεγάλα γλωσσικά με λογισμικό αυτοματισμού, μπορεί να εκμεταλλευτεί με επιτυχία τρωτά σημεία ασφάλειας διαβάζοντας απλά τις συμβουλές ασφαλείας, ισχυρίζονται ακαδημαϊκοί.

gpt 4

Σε μια νέα εργασία που κυκλοφόρησε, τέσσερις επιστήμονες του Πανεπιστημίου του Illinois Urbana-Champaign (UIUC) (οι Richard Fang, Rohan Bindu, Akul Gupta και Daniel Kang) αναφέρουν ότι το GPT-4 (LLM) της OpenAI μπορεί να εκμεταλλευτεί αυτόνομα zero day, διαβάζοντας το CVE που περιγράφει το κενό ασγαλείας.

“Για να το αποδείξουμε, συλλέξαμε ένα σύνολο με 15 zero day που περιλαμβάνουν κενά αφαλείας που έχουν κατηγοριοποιηθεί σαν κενά κρίσιμης σοβαρότητας στην περιγραφή του CVE”, αναφέρουν οι συγγραφείς της έρευνας.

“Όταν δίνεται η περιγραφή του CVE, το GPT-4 είναι σε θέση να εκμεταλλευτεί το 87 τοις εκατό αυτών των τρωτών σημείων σε σύγκριση με το 0 τοις εκατό για κάθε άλλο μοντέλο που δοκιμάζουμε (, ή άλλα LLM ανοιχτού κώδικα) και σαρωτές ευπάθειας ανοιχτού κώδικα (ZAP και Metasploit).”

Ο όρος “ευπάθεια μιας ημέρας” ή zero day αναφέρεται σε κενά ασφαλείας που έχουν αποκαλυφθεί αλλά δεν έχουν επιδιορθωθεί. Η περιγραφή CVE, αναφέρει την ευπάθεια που κοινοποιείται από το NIST – π.χ. αυτή για το CVE-2024-25850.

Τα μοντέλα που δοκιμάστηκαν αλλά δεν έπιασαν τις επιδόσεις του GPT-4, ήταν τα: GPT-3.5, OpenHermes-2.5--7B, Llama-2 Chat (70B), LLaMA-2 Chat (13B), LLaMA-2 Chat (7B), Mixtral-8x7B Instruct, Mistral (7B) Το Instruct v0.2, το Nous Hermes-2 Yi 34B και το OpenChat 3.5

Δεν συμπεριλαμβάνονται οι δύο κορυφαίοι εμπορικοί ανταγωνιστές του GPT-4, Claude 3 της Anthropic και Gemini 1.5 Pro της Google. Οι επιστήμονες του UIUC δεν είχαν πρόσβαση σε αυτά τα μοντέλα, αλλά ελπίζουν να τα δοκιμάσουν κάποια στιγμή.

Subjects:Cryptography and Security (cs.CR); Artificial Intelligence (cs.AI)
Cite as:arXiv:2404.08144 [cs.CR]
 (or arXiv:2404.08144v1 [cs.CR] for this version)
 https://doi.org/10.48550/arXiv.2404.08144
 

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).