2024-04-25 13:25:25
MADRID, 25 avril. (Portail/EP) –
Un groupe de chercheurs a découvert que GPT-4 a la capacité de identifier les failles de sécurité sans nécessiter une assistance humaine externe et qui, en outre, peut exploiter les failles du jour zéro en connaissant les vulnérabilités et expositions courantes (CVE).
Une étude réalisée par des chercheurs de l’Université de l’Illinois à Urbana-Champaign (États-Unis) a montré que les grands modèles linguistiques (LLM) ont grand potentiel pour exécuter des actions à des fins malveillantes s’ils sont manipulés à cette fin.
Dans une recherche partagée dans le référentiel Arxiv, Richard Fang, Rohan Bindu, Akil Gupta et Daniel Kang reconnaissent que des études ont déjà été publiées démontrant la capacité de ces modèles à pirater des sites Web de manière autonome. Cependant, ils ont précisé que ces études “se limitent à de simples vulnérabilités.”
Ainsi, les spécialistes de cette université ont choisi de compiler un ensemble de données de 15 vulnérabilités classées comme gravité critique dans la liste des vulnérabilités et des expositions courantes pour démontrer comment un agent piloté par GPT-4 agit contre elles.
Selon leurs recherches, l’itération la plus avancée de ce modèle est capable d’exploiter les vulnérabilités de sécurité de différents systèmes de manière autonome, c’est-à-dire sans avoir à bénéficier d’une aide humaine extérieure.
À tel point que GPT-4 a pu exploiter 87 % de ces vulnérabilités, ce qui contraste avec le LLM GPT-3.5, qui n’a pu le faire dans aucun des cas, et les scanners de Vulnérabilités open source ZAP et Metasploit.
Ils ont cependant convenu que cela était possible car ces failles disposaient d’une description CVE complète, dont GPT-4 a profité pour les exploiter. Sans ces informations supplémentaires, le modèle n’aurait donc pu exploiter que 7 % des vulnérabilités.
Selon l’un des chercheurs, Kang, les organisations de sécurité pourraient s’abstenir de publier des rapports détaillés sur les vulnérabilités comme stratégie d’atténuation pour empêcher les agents malveillants d’en profiter, selon Le registre.
Cependant, pour empêcher les cybercriminels d’exploiter les vulnérabilités « jour zéro » via GPT-4, ce scientifique préconise des mesures de sécurité plus proactives, telles que mises à jour régulières des packages de sécurité, pour contrer ces menaces.
#Ils #découvrent #GPT4 #peut #exploiter #les #vulnérabilités #jour #zéro #connaissant #les #détails #CVE
1714045482