GPT-4 exploite Zero-Days avec 53% de réussite

Des chercheurs ont atteint un taux de réussite de plus de 50% en piratant leurs sites web de test en utilisant des équipes autonomes de bots GPT-4. Ces bots coordonnent leurs actions et peuvent en engendrer de nouveaux au besoin, tout en exploitant des vulnérabilités réelles du monde réel précédemment non découvertes, appelées “zero-day”.

Il y a quelques mois, une équipe de recherche a publié un article détaillant leur utilisation de GPT-4 pour exploiter de manière autonome des vulnérabilités d’un jour (ou N-jours) – des failles connues mais dépourvues de correctif. Lorsqu’on lui fournissait la liste des Common Vulnerabilities and Exposures (CVE), GPT-4 pouvait exploiter indépendamment 87% des CVE de gravité critique.

Piratage réussi de vulnérabilités Zero-Day par des agents LLM autonomes

Faisons un bond en avant jusqu’à cette semaine, et les mêmes chercheurs ont publié un article de suivi. Ils ont réussi à pirater des vulnérabilités Zero-Day – des failles qui ne sont pas encore connues – en utilisant une équipe d’agents autonomes et autorépliquants de grands modèles de langage (LLM) utilisant une approche de Planification Hiérarchique avec des Agents Spécifiques à la Tâche (HPTSA).

Au lieu d’assigner un seul agent LLM à de nombreuses tâches complexes, HPTSA utilise un “agent de planification” qui supervise l’ensemble du processus et déploie plusieurs “sous-agents” spécifiques à chaque tâche.

Cette structure ressemble à une hiérarchie, avec l’agent de planification coordonnant les efforts à travers l’agent de gestion, qui attribue ensuite des tâches à chaque “sous-agent expert”. Cette approche allège la charge sur un seul agent et assure une allocation efficace des tâches.

Cette technique reflète la méthodologie utilisée par Cognition Labs avec son équipe de développement de logiciels Devin AI. Elle consiste à planifier le projet, à identifier les ensembles de compétences nécessaires et à superviser l’exécution du projet tout en générant des “employés” spécialisés au besoin pour gérer des tâches spécifiques.

Lorsqu’elle a été testée sur 15 vulnérabilités réelles axées sur le web, HPTSA a démontré une augmentation de 550% de l’efficacité par rapport à un seul LLM dans l’exploitation des vulnérabilités. Il a réussi à exploiter 8 des 15 vulnérabilités Zero-Day, tandis que le seul LLM a réussi à exploiter seulement 3 des 15 vulnérabilités.

Préoccupations éthiques concernant la possibilité de mauvais usage des modèles d’IA avancés

Cependant, des préoccupations surgissent concernant les implications éthiques de ces modèles. Il existe une inquiétude légitime selon laquelle les utilisateurs pourraient exploiter ces capacités pour lancer des attaques malveillantes sur des sites web et des réseaux.

Daniel Kang, l’un des chercheurs et l’auteur du livre blanc, a spécifiquement souligné que GPT-4, lorsqu’il fonctionne en mode chatbot, ne comprend pas les capacités des LLM et est incapable de piratage indépendant.

Interrogé sur sa capacité à exploiter des vulnérabilités zero-day, ChatGPT a répondu : “Non, je ne suis pas capable d’exploiter des vulnérabilités zero-day. Mon but est de fournir des informations et une assistance dans le respect des limites éthiques et légales.” Il a conseillé de consulter un professionnel de la cybersécurité pour de telles questions.

---

Lisez l’article original sur : New Atlas

Pour en savoir plus : Écouteurs antibruit AI : une seule voix passe