کمیته رکن چهارم – نتایج این پژوهش میتواند به محققان کمک کند تا جلوی سوءاستفاده از مدلهای هوش مصنوعی برای بهرهگیری از آسیبپذیریهای روز صفر را بگیرند.
محققان توانستند با موفقیت بیش از نیمی از وبسایتهای آزمایشی خود را با استفاده از باتهای GPT-4 هک کنند. این مدل ابداعی محققان میتواند باتهای جدیدی برای انجام وظایف خاص تولید کند. بهطورکلی، نتایج این پژوهش میتواند برای جلوگیری از سوءاستفاده از مدلهای هوش مصنوعی در هکهای روز صفر مفید باشد.
محققان دانشگاه ایلینوی اربانا-شمپین توانستند از روشی به نام «برنامهریزی سلسلهمراتبی با عاملهای وظیفهمحور» یا «HPTSA» برای تولید خودکار چندین بات از مدل زبانی بزرگی استفاده کنند؛ در این روش GPT-4 میتواند باتهای دیگری بسازد و بهاینترتیب از آسیبپذیریهای روز صفر و ناشناخته برای هککردن استفاده کند.
چند ماه پیش، همین محققان توانستند از GPT-4 برای هک خودکار آسیبپذیریهای روز اول یا N-day (نقصهای امنیتی که شناخته شده اما هنوز اصلاح نشدهاند) بهره ببرند. به گفته محققان، اگر لیست آسیبپذیریهای شناختهشده به GPT-4 داده شود، این هوش مصنوعی میتواند بهتنهایی از ۸۷ درصد این آسیبپذیریها برای هک استفاده کند.
استفاده از هوش مصنوعی GPT-4 برای شناسایی نقصهای امنیتی
محققان در پژوهش جدیدشان، با روش HPTSA بهجای اختصاصدادن مدل هوش مصنوعی برای حل بسیاری از مسائل پیچیده، از «عامل برنامهریزی» (Planning agent) استفاده کردهاند که مانند مدیر بر کل فرایند نظارت میکند و خودش چندین زیرمجموعه Subagent میسازد که هرکدام مخصوص کاری هستند. فرایند این کار بسیار شبیه سازمانی با یک رئیس و چند کارمند است که در آن عامل برنامهریزی با عوامل دیگر مسائل مختلف را بررسی و برطرف میکند.
هنگامی که مدلهای هوش مصنوعی با روش HPTSA در برابر ۱۵ آسیبپذیری در وب قرار گرفتند، توانستند ۵۵۰ درصد کارآمدتر از مدلی معمولی عمل کنند. بهعبارت دقیقتر، آنها توانستند ۸ آسیبپذیری از ۱۵ آسیبپذیری روز صفر را هک کنند (یعنی با نرخ موفقیت تقریبی ۵۳ درصدی). در مقابل مدلی انفرادی توانست فقط در هک ۳ مورد از ۱۵ آسیبپذیری موفق باشد.
از سویی این نگرانی وجود دارد که این مدلها به برخی کاربران اجازه دهند بهصورت مخرب به وبسایتها و پلتفرمها حمله کنند. اما محققان این پژوهش میگویند چتبات GPT-4 بهتنهایی نمیتواند چیزی را هک کند.
منبع : دیجیاتو
