Науковці з Корнельського університету в Нью-Йорку здійснили значний прорив у сфері кібербезпеки, використовуючи автономних ботів GPT-4 для виявлення вразливостей на тестових сайтах. Використовуючи новий метод під назвою “ієрархічне планування з агентами, що виконують конкретні завдання” (HPTSA), дослідники змогли зламати понад 50% своїх тестових сайтів та виявити невідомі раніше вразливості.
Кілька місяців тому команда опублікувала статтю, в якій описала, як використала GPT-4 для злому відомих вразливостей (N-day) з 87% успіхом при роботі з критично важливими вразливостями зі списку CVE (Common Vulnerabilities and Exposures). Це загальновідомі слабкі місця в програмному забезпеченні, які можуть бути використані зловмисниками для проведення атак. Кожна вразливість отримує унікальний ідентифікатор CVE, який містить короткий опис проблеми та рекомендації щодо її усунення.
Цього тижня вчені повідомили про нові результати: за допомогою HPTSA вдалося зламати 8 із 15 невідомих вразливостей (zero-day). Метод HPTSA передбачає використання “агента-планувальника”, який керує процесом і запускає “підагентів”, що відповідають за конкретні завдання. Це знижує навантаження на одного агента і дає змогу ефективніше вирішувати складні завдання. Аналогічну техніку використовує Cognition Labs у своїй системі Devin AI для розробки програмного забезпечення.
Під час тестів HPTSA виявився в рази ефективнішим за одиночного агента GPT-4: він виявив 8 з 15 вразливостей, тоді як одиночний агент зміг виявити лише 3. Один з дослідників, Деніел Канг, підкреслив, що в режимі чат-бота GPT-4 не здатний самостійно зламувати вразливості, оскільки його можливості обмежені.
Цей дослідницький успіх піднімає питання про майбутнє використання штучного інтелекту в кібербезпеці. Використання автономних ботів GPT-4 та методу HPTSA може стати новим стандартом для виявлення та виправлення вразливостей, покращуючи захист програмного забезпечення та інфраструктури від потенційних загроз.
Користувачі можуть бути спокійні: сам по собі ChatGPT не генерує ботів і не зламує сайти. Відповідаючи на запитання про можливість експлуатації вразливостей, чат-бот заявляє, що його мета – надання інформації в межах етичних і законних кордонів, і пропонує звернутися до фахівців з кібербезпеки.
Загалом, дослідження Корнельського університету відкриває нові горизонти для застосування штучного інтелекту в кібербезпеці, демонструючи, як GPT-4 може бути використаний для виявлення та усунення вразливостей, що значно підвищує безпеку цифрових систем.