ChatGPT potrebbe essere il prossimo grande problema di cybersicurezza
I ricercatori sostengono che può craccare i sistemi più velocemente che mai
Secondo le ultime scoperte dei ricercatori, gli LLM come ChatGPT potrebbero essere la prossima preoccupazione per la sicurezza informatica. Precedentemente ritenuti in grado di sfruttare solo le vulnerabilità di cybersicurezza più semplici, gli LLM hanno dimostrato una sorprendente abilità nello sfruttare anche quelle complesse.
I ricercatori dell'Università dell'Illinois Urbana-Champaign (UIUC) hanno scoperto che il GPT-4 dimostra un'abilità spaventosamente elevata nello sfruttare le vulnerabilità "di un giorno" nei sistemi del mondo reale. In un set di dati di 15 vulnerabilità di questo tipo, GPT-4 è stato in grado di sfruttarne un allarmante 87%.
Questo è un sorprendente contrasto con altri modelli linguistici come GPT-3.5, OpenHermes-2.5-Mistral-7B e Llama-2 Chat (70B), così come con gli scanner di vulnerabilità come ZAP e Metasploit, che hanno tutti registrato un tasso di successo dello 0%.
Una seria minaccia
L'avvertenza, tuttavia, è che per ottenere prestazioni così elevate, GPT-4 richiede la descrizione della vulnerabilità dal database CVE. Senza la descrizione CVE, la percentuale di successo di GPT-4 scende drasticamente ad appena il 7%.
Ciononostante, quest'ultima rivelazione solleva interrogativi allarmanti sulla diffusione incontrollata di agenti LLM altamente capaci e sulla minaccia che rappresentano per i sistemi privi di patch. Mentre studi precedenti hanno dimostrato la loro capacità di agire come ingegneri del software e di aiutare la scoperta scientifica, non si sapeva molto delle loro potenziali capacità o ripercussioni sulla sicurezza informatica.
Sebbene sia stata riconosciuta la capacità degli agenti LLM di hackerare autonomamente "siti web giocattolo", finora tutte le ricerche in questo campo si sono concentrate su problemi giocattolo o esercizi di "cattura la bandiera", scenari essenzialmente lontani dalle applicazioni reali.
È possibile leggere il documento pubblicato dai ricercatori dell'UIUC sul server di pre-print arXiv della Cornell University.
Sei un professionista? Iscriviti alla nostra Newsletter
Iscriviti alla newsletter di Techradar Pro per ricevere tutte le ultime notizie, opinioni, editoriali e guide per il successo della tua impresa!
Wayne Williams is a freelancer writing news for TechRadar Pro. He has been writing about computers, technology, and the web for 30 years. In that time he wrote for most of the UK’s PC magazines, and launched, edited and published a number of them too.