- Các nhà nghiên cứu tại Đại học Illinois Urbana-Champaign cung cấp cho các tác tử AI mô tả về hơn một chục lỗ hổng đã được công bố nhưng chưa được vá, bao gồm hai lỗi được đánh giá là "nghiêm trọng" trên thang điểm CVSS.
- Tác tử họ tạo ra với GPT-4 của OpenAI đã khai thác được 87% các lỗ hổng. 14 tác tử khác được tạo ra với các mô hình như GPT-3.5, một số mô hình ngôn ngữ lớn nguồn mở và các công cụ quét lỗ hổng nguồn mở ZAP và Metasploit đã hoàn toàn thất bại.
- Daniel Kang, một trong bốn nhà khoa học công bố bài báo, cho biết họ tạo ra tác tử AI GPT-4 chỉ với 91 dòng mã.
- Tuy nhiên, GPT-4 cần mô tả CVE của lỗ hổng để thực hiện nhiệm vụ. Nếu không có thông tin đó, tác tử AI chỉ có thể khai thác 7% lỗ hổng.
- Các tác tử AI là sự kết hợp giữa các mô hình ngôn ngữ lớn và phần mềm tự động hóa. Trong nghiên cứu này, GPT-4 không thể hiện khả năng phân tích và khai thác lỗ hổng phần mềm một cách tự động, nhưng nó cho thấy giá trị của nó như một thành phần quan trọng trong tự động hóa phần mềm bằng cách kết hợp nội dung và đoạn mã hiện có.
- Các lỗ hổng duy nhất mà GPT-4 không thể khai thác là Iris XSS và Hertzbeat RCE.
📌 Nghiên cứu cho thấy tác tử AI GPT-4 có thể khai thác 87% lỗ hổng chưa được vá chỉ dựa trên mô tả CVE công khai, trong khi 14 tác tử khác hoàn toàn thất bại. Kết quả này nhấn mạnh tiềm năng của GPT-4 trong tự động hóa phần mềm, đồng thời đặt ra những lo ngại về khả năng khai thác lỗ hổng của các mô hình AI tiên tiến trong tương lai.
Citations:
[1] https://www.bankinfosecurity.com/study-gpt-4-agent-exploit-unpatched-vulnerabilities-a-24917