Investigadores hallaron que GPT-4 tiene la capacidad de identificar vulnerabilidades de seguridad sin requerir asistencia humana externa.
Además, señalaron que puede explotar fallas de día cero (‘zero-day’) al conocer los puntos vulnerables y las exposiciones comunes (CVE, por sus siglas en inglés).
Un estudio de la Universidad de Illinois UrbanaChampaign evidenció que los modelos de lenguaje grandes (LLM) tienen potencial para ejecutar acciones maliciosas si se manipulan con ese propósito.
LA CAPACIDAD DE PIRATEAR SITIOS WEB DE FORMA AUTÓNOMA
En una investigación compartida en el repositorio Arxiv, expertos han reconocido que antes publicaron estudios que muestran la capacidad de estos modelos para piratear sitios web de forma autónoma.
No obstante, matizaron que estos estudios “se limitan a vulnerabilidades simples”.
Así, los especialistas optaron por recopilar un conjunto de datos de 15 vulnerabilidades categorizadas como de gravedad crítica en la lista vulnerables y las exposiciones comunes.
De esa forma, el objetivo es demostrar cómo actúa ante ellas un agente impulsado por GPT-4.
EXPLOTAR VULNERABILIDADES DE SEGURIDAD
Según su investigación, la iteración más avanzada de este modelo es capaz de explotar vulnerabilidades de seguridad en distintos sistemas de forma autónoma.
Esto quiere decir, sin tener que contar con asistencia humana externa.
Tanto es así que GPT-4 pudo explotar el 87% de estas vulnerabilidades, lo que contrasta con el LLM GPT-3.5, que no pudo hacerlo en ninguno de los casos.
También contrasta con los escáneres de vulnerabilidades de código abierto ZAP y Metasploit.
UNA DESCRIPCIÓN COMPLETA DE CVE
Sin embargo, han coincidido en que esto fue posible debido a que estas fallas disponían de una descripción completa de CVE, lo que GPT-4 aprovechó para explotarlas.
Sin esta información adicional, por tanto, el modelo solo habría sido capaz de explotar el 7 por ciento de las vulnerabilidades.
Según uno de los investigadores, Kang, las organizaciones de seguridad podrían abstenerse de publicar informes detallados sobre las vulnerabilidades.
UNA ESTRATEGIA DE MITIGACIÓN
Se trata de una estrategia de mitigación para evitar que los agentes maliciosos se aprovechen de ellas, según recoge The Register.
Para evitar que los ciberdelincuentes puedan explotar vulnerabilidades ‘zero-day’ mediante GPT-4, no obstante, este científico aboga por medidas de seguridad más proactivas.
Entre estas últimas, se pueden mencionar actualizaciones periódicas de paquetes de seguridad, para contrarrestar estas amenazas.
Fuente: EP.