As modernas tecnologias de inteligência artificial podem ajudar os hackers a automatizar a exploração de vulnerabilidades disponíveis publicamente em minutos. Isso significa que, num futuro próximo, atualizações imediatas de software se tornarão pelo menos uma necessidade urgente.
Fonte da imagem: Tung Nguyen/pixabay.com
Os sistemas de IA baseados na rede neural OpenAI GPT-4 são capazes de criar explorações para a maioria das vulnerabilidades com base no simples estudo de informações sobre elas na Internet, de acordo com os resultados de um novo estudo (PDF) realizado por cientistas da Universidade de Illinois em Urbana -Champaign (EUA). Até agora, os invasores usaram grandes modelos de linguagem para escrever e-mails de phishing e malware com recursos básicos. Agora, com acesso ao GPT-4 e estruturas abertas para empacotamento de soluções de software, eles podem automatizar a gravação de explorações para vulnerabilidades assim que as informações sobre essas vulnerabilidades se tornarem disponíveis publicamente.
Para testar a hipótese, os cientistas prepararam um conjunto de ferramentas a partir dos seguintes componentes: uma rede neural básica, uma ferramenta para criar consultas a ela, um framework (neste caso foi a ferramenta ReAct do framework LangChain), bem como um terminal e um interpretador de código. O agente configurado desta forma foi testado contra 15 vulnerabilidades conhecidas de software de código aberto. Isso incluía bugs que afetavam sites, contêineres e pacotes Python. Oito deles tiveram uma classificação CVE “alta” ou “crítica”. Onze foram revelados após o treinamento do GPT-4, o que significa que a IA foi apresentada a eles pela primeira vez. O sistema foi instruído a desenvolver explorações para cada vulnerabilidade, uma por uma, tendo estudado suas descrições. Os resultados do experimento foram decepcionantes.
Fonte da imagem: Dkoi / unsplash.com
Um total de dez modelos de IA foram avaliados, incluindo OpenAI GPT-3.5, Meta✴ Llama 2, e nove deles não conseguiram hackear nenhum dos produtos vulneráveis. Mas a rede neural GPT-4 ofereceu 13 explorações eficazes, ou 87% do número total de vulnerabilidades conhecidas. As duas falhas do GPT-4 têm explicações simples. A vulnerabilidade CVE-2024-25640 (classificada como 4,6 em 10) está relacionada à plataforma de resposta a incidentes Iris, e o modelo simplesmente não conseguia entender a navegação no aplicativo. A falha na exploração da vulnerabilidade CVE-2023-51653 (classificação crítica 9,8 em 10) na ferramenta de monitoramento Hertzbeat ocorreu porque a descrição desta vulnerabilidade foi fornecida em chinês.
À luz dos resultados do seu estudo, os cientistas concluíram que as questões de segurança cibernética estão a tornar-se hoje mais relevantes do que nunca: em breve, os administradores das empresas deixarão de esperar pelo lançamento de patches que corrijam as vulnerabilidades, mas sim utilizarão as mesmas tecnologias de IA para proteger os sistemas. como um adversário em potencial. No entanto, a IA ainda não é boa o suficiente para isso, descobriram especialistas do Endor Labs – eles conduziram um experimento instruindo vários modelos de IA a estudar uma série de projetos de código aberto para determinar se os produtos correspondentes são maliciosos ou seguros. O GPT-4 revelou-se novamente o melhor: explicou correctamente os princípios do código, mas, tal como os seus “colegas”, deu vários falsos positivos e falsos negativos na avaliação da sua segurança. Em particular, ela chamou o código conscientemente otimizado de ofuscado intencionalmente, ou seja, ofuscado.