GPT-4 tự động hack lỗ hổng bảo mật zero-day với tỷ lệ thành công 53%

- Các nhà nghiên cứu đã thành công trong việc hack vào hơn một nửa các trang web thử nghiệm bằng cách sử dụng các đội bot GPT-4 tự trị, phối hợp nỗ lực và tạo ra các bot mới tùy ý.
- Điều này được thực hiện bằng cách sử dụng các lỗ hổng bảo mật 'zero day' chưa từng biết đến trước đó trong thế giới thực.
- Trước đó, cùng nhóm nghiên cứu đã công bố một bài báo cho biết họ có thể sử dụng GPT-4 để tự động khai thác các lỗ hổng bảo mật một ngày (hoặc N-ngày) với tỷ lệ thành công 87% đối với các lỗ hổng nghiêm trọng.
- Trong nghiên cứu mới nhất, họ sử dụng phương pháp Hierarchical Planning with Task-Specific Agents (HPTSA) với một nhóm các agent Large Language Model (LLM) tự trị và tự nhân bản.
- Thay vì chỉ định một agent LLM duy nhất cố gắng giải quyết nhiều tác vụ phức tạp, HPTSA sử dụng một "agent lập kế hoạch" giám sát toàn bộ quá trình và khởi chạy nhiều "subagent" chuyên biệt cho từng tác vụ.
- Khi so sánh với 15 lỗ hổng thực tế tập trung vào web, HPTSA đã cho thấy hiệu quả cao hơn 550% so với một LLM đơn lẻ trong việc khai thác lỗ hổng và có thể hack được 8/15 lỗ hổng zero-day. Trong khi đó, nỗ lực của LLM đơn lẻ chỉ có thể hack được 3/15 lỗ hổng.
- Có lo ngại chính đáng rằng các mô hình này sẽ cho phép người dùng tấn công các trang web và mạng một cách độc hại. Tuy nhiên, một trong những nhà nghiên cứu lưu ý rằng ở chế độ chatbot, GPT-4 không đủ khả năng để hiểu các khả năng của LLM và không thể tự hack bất cứ điều gì.

📌 Kết quả nghiên cứu cho thấy các đội bot GPT-4 tự trị, sử dụng phương pháp HPTSA, có thể khai thác thành công 53% lỗ hổng bảo mật zero-day chưa từng biết đến trước đó, cao hơn 550% so với một LLM đơn lẻ. Mặc dù có lo ngại về khả năng sử dụng sai mục đích, nhưng ở chế độ chatbot, GPT-4 không đủ khả năng để tự hack mà không cần sự can thiệp của con người.

https://newatlas.com/technology/gpt4-autonomously-hack-zero-day-security-flaws/