مدل GPT4 نقص های امنیتی را با نرخ موفقیت 53 درصدی شناسایی کرد

محققان توانستند با موفقیت بیش از نیمی از وب سایت های آزمایشی خود را با استفاده از بات های GPT4 هک کنند. این مدل ابداعی محققان می تواند بات های جدیدی برای انجام وظایف خاص تولید کند. به طورکلی، نتایج این پژوهش می تواند برای جلوگیری از سوءاستفاده از مدل های هوش مصنوعی در هک های روز صفر مفید باشد.

براساس گزارش نیواطلس، محققان دانشگاه ایلینوی ارباناشمپین توانستند از روشی به نام «برنامه ریزی سلسله مراتبی با عامل های وظیفه محور» یا «HPTSA» برای تولید خودکار چندین بات از مدل زبانی بزرگی استفاده کنند؛ در این روش GPT4 می تواند بات های دیگری بسازد و به این ترتیب از آسیب پذیری های روز صفر و ناشناخته برای هک کردن استفاده کند.

چند ماه پیش، همین محققان توانستند از GPT4 برای هک خودکار آسیب پذیری های روز اول یا Nday (نقص های امنیتی که شناخته شده اما هنوز اصلاح نشده اند) بهره ببرند. به گفته محققان، اگر لیست آسیب پذیری های شناخته شده به GPT4 داده شود، این هوش مصنوعی می تواند به تنهایی از 87 درصد این آسیب پذیری ها برای هک استفاده کند.

استفاده از هوش مصنوعی GPT4 برای شناسایی نقص های امنیتی

محققان در پژوهش جدیدشان، با روش HPTSA به جای اختصاص دادن مدل هوش مصنوعی برای حل بسیاری از مسائل پیچیده، از «عامل برنامه ریزی» (Planning agent) استفاده کرده اند که مانند مدیر بر کل فرایند نظارت می کند و خودش چندین زیرمجموعه Subagent می سازد که هرکدام مخصوص کاری هستند. فرایند این کار بسیار شبیه سازمانی با یک رئیس و چند کارمند است که در آن عامل برنامه ریزی با عوامل دیگر مسائل مختلف را بررسی و برطرف می کند.

هنگامی که مدل های هوش مصنوعی با روش HPTSA در برابر 15 آسیب پذیری در وب قرار گرفتند، توانستند 550 درصد کارآمدتر از مدلی معمولی عمل کنند. به عبارت دقیق تر، آن ‎ها توانستند 8 آسیب پذیری از 15 آسیب پذیری روز صفر را هک کنند (یعنی با نرخ موفقیت تقریبی 53 درصدی). در مقابل مدلی انفرادی توانست فقط در هک 3 مورد از 15 آسیب پذیری موفق باشد.

از سویی این نگرانی وجود دارد که این مدل ها به برخی کاربران اجازه دهند به صورت مخرب به وب سایت ها و پلتفرم ها حمله کنند. اما محققان این پژوهش می گویند چت بات GPT4 به تنهایی نمی تواند چیزی را هک کند.