Сотрудники отела безопасности Иллинойского университета в Урбане-Шампейне представили результаты своего нового исследования, в рамках которого смогли доказать, что популярная модель искусственного интеллекта GPT-4 от американской компании OpenAI имеет возможность самостоятельно эксплуатировать уязвимость в реальных системах, но только в том случае, если получит соответствующий подробный описание ошибок и багов.
В процессе проведения исследования эксперты отобрали 15 уязвимостей, относившихся к категории «критических». Результаты наглядно продемонстрировали, на что большая языковая модель GPT-4 способна – она смогла эксплуатировать 13 этих уязвимостей, тогда как другие известные языковые модели аналогичных масштабов с этой задачей не справились.
Даниэль Канг, один из авторов исследования, заявил, что применение больших языковых моделей может существенно упростить процедуры эксплуатации уязвимостей хакерами. Как отмечает специалист, системы, основанные на искусственном интеллекте, гораздо эффективнее, чем доступные сейчас инструменты для начинающих киберпреступников. исследованиитакже отдельно речь идет о стоимости хакерских атак, в рамках которых будут применяться большие языковые модели. Специалисты убеждены, что затраты на успешную эксплуатацию уязвимостей с использованием искусственного интеллекта обойдутся гораздо дешевле, чем услуги профессиональных пентестеров.
Американские специалисты также отмечают, что в процессе проведения исследования модель GPT-4 не смогла эксплуатировать только 2 из 15 уязвимостей. И это произошло только по той причине, что в одном из случаев искусственный интеллект столкнулся с трудностями в навигации по веб-приложениям, а в другой ситуации сама ошибка была описана на китайском языке, из-за чего большая языковая модель не смогла до конца понять полученную информацию./p>
Даниэль Канг также отметил, что даже наличие гипотетических ограничений доступа большой языковой модели к сведениям об информационной безопасности не станет эффективным средством защиты от кибератак на базе LLM. В связи с этим исследователи университета призывают компании, занимающиеся разработкой технологий искусственного интеллекта, обеспечивать максимальный уровень защиты своих продуктов, а также регулярно обновлять выпускаемое программное обеспечение.