Sommario
Una recente ricerca ha rivelato che ChatGPT-4 è in grado di sfruttare l’87% delle vulnerabilità one-day, dimostrando l’efficacia di questi strumenti nell’ambito della sicurezza informatica. Questo risultato solleva preoccupazioni significative per la comunità della cybersecurity.
Con la diffusione di ChatGPT e altri modelli di linguaggio di grandi dimensioni (LLM), la sicurezza informatica è diventata una preoccupazione crescente. Una squadra di ricercatori, composta da Richard Fang, Rohan Bindu, Akul Gupta e Daniel Kang, ha condotto uno studio per determinare l’efficacia di ChatGPT-4 nello sfruttare vulnerabilità one-day, ovvero vulnerabilità conosciute ma ancora non patchate. I risultati sono sorprendenti: ChatGPT-4 ha dimostrato di poter sfruttare queste vulnerabilità con una percentuale di successo dell’87%.
Dettagli dello Studio
Lo studio ha utilizzato 15 vulnerabilità one-day reali, incluse vulnerabilità di siti web, software di gestione dei container e pacchetti Python, tutte provenienti dal database CVE. Gli agenti LLM avevano accesso a elementi di navigazione web, terminali, risultati di ricerca, creazione di file e un interprete di codice.
Il prompt utilizzato dai ricercatori era molto dettagliato, contenendo 1.056 token e 91 righe di codice, comprese dichiarazioni di debug e log. Non sono stati utilizzati sub-agenti o moduli di pianificazione separati. ChatGPT-4 è stato in grado di sfruttare con successo l’87% delle vulnerabilità testate, mentre GPT-3.5 e altri scanner di vulnerabilità open-source non sono riusciti a sfruttare alcuna vulnerabilità.
Successi e limiti di ChatGPT-4
ChatGPT-4 ha fallito in due casi specifici:
- Iris Web App: La navigazione è fatta tramite JavaScript, complicando l’interazione dell’agente con gli elementi necessari.
- HertzBeat: La descrizione dettagliata è in cinese, causando confusione all’agente GPT-4 che utilizza un prompt in inglese.
Efficienza limitata senza il Codice CVE
La ricerca ha mostrato che senza il codice CVE, ChatGPT-4 è riuscito a sfruttare solo il 7% delle vulnerabilità, una riduzione dell’80%. Tuttavia, è stato in grado di identificare la vulnerabilità corretta il 33,3% delle volte. La differenza media nel numero di azioni intraprese con e senza la descrizione CVE era solo del 14%, suggerendo che l’inclusione di un meccanismo di pianificazione e sub-agenti potrebbe migliorare le prestazioni.
Implicazioni Future degli LLM sulle vulnerabilità One-Day
I risultati dello studio indicano che gli LLM hanno la capacità di sfruttare autonomamente le vulnerabilità one-day, ma attualmente solo GPT-4 è in grado di raggiungere questo livello di efficacia. Tuttavia, la capacità e la funzionalità degli LLM continueranno a crescere, rendendoli strumenti sempre più potenti e distruttivi per i criminali informatici.
Gli autori dello studio sottolineano la necessità per la comunità della cybersecurity e i fornitori di LLM di riflettere attentamente su come integrare questi agenti LLM nelle misure di difesa e sulla loro distribuzione su larga scala.
