Un recente studio condotto dai ricercatori dell’Università dell’Illinois a Urbana-Champaign (UIUC) ha rivelato che OpenAI’s GPT-4, un modello di linguaggio di grandi dimensioni (LLM), è in grado di sfruttare autonomamente vulnerabilità reali nei sistemi informatici dopo aver letto avvisi di sicurezza del CVE. Quattro scienziati informatici – Richard Fang, Rohan Bindu, Akul Gupta e Daniel Kang – hanno condotto una serie di test che dimostrano come GPT-4 possa identificare e sfruttare vulnerabilità con una precisione sorprendente.
Nel loro studio, il team ha raccolto un insieme di dati di 15 vulnerabilità “one-day”, ovvero vulnerabilità che sono state divulgate ma non ancora risolte. GPT-4 è riuscito a sfruttare l’87% di queste vulnerabilità, una percentuale notevolmente più alta rispetto ad altri modelli come GPT-3.5 e vari scanner open-source, come ZAP e Metasploit.
Secondo Daniel Kang, assistente professore alla UIUC, GPT-4 può seguire autonomamente i passaggi necessari per sfruttare vulnerabilità che gli scanner tradizionali non riescono a identificare. Questo risultato evidenzia il potenziale dell’intelligenza artificiale nell’ambito della sicurezza informatica, ma solleva anche preoccupazioni riguardo alla sua capacità di facilitare attacchi informatici.
L’agente LLM, che è stato creato collegando GPT-4 al framework di automazione ReAct implementato in LangChain, può anche seguire i collegamenti negli avvisi del CVE per ottenere ulteriori informazioni. Kang ha affermato che questa capacità potrebbe rendere gli attacchi informatici più accessibili a una gamma più ampia di attori, inclusi i cosiddetti “script kiddies”.
Tuttavia, Kang non crede che limitare la disponibilità pubblica delle informazioni di sicurezza sia una soluzione praticabile. Piuttosto, egli spera che il suo lavoro incoraggi misure proattive come l’aggiornamento regolare dei software quando vengono rilasciate patch di sicurezza.
_____
OpenAI’s GPT-4 can exploit real vulnerabilities by reading security advisories
