GPT-4 ahora podrá explotar la vulnerabilidad algún día sin la ayuda de nadie
Investigadores estadounidenses revelaron que GPT-4 podría explotar vulnerabilidades zero-day en sistemas reales de manera completamente autónoma. Este descubrimiento representa un punto de inflexión para el futuro de la ciberseguridad.
Que los modelos de lenguajes grandes (LLM) sean capaces de hackear aplicaciones no es, en sí mismo, algo nuevo. Investigaciones recientes ya han demostrado que pueden hackear sitios web aprovechando vulnerabilidades simples. Sin embargo, investigadores estadounidenses de la Universidad de Illinois en Urbana-Champaign (UIUC) han demostrado que GPT-4 también podría explotar fallos que de otro modo serían complejos, sin intervención humana directa.
Un agente GPT-4 más autónomo que nunca
Para llevar a cabo esta investigación, el equipo de UIUC creó inicialmente una base de datos de quince vulnerabilidades zero-day (fallas ya conocidas por los editores y desarrolladores) de diferentes niveles de criticidad (de media a crítica), basándose en información de registros CVE y publicaciones científicas. Después, desarrollaron varios agentes basados en diferentes LLM, incluidos GPT (3.5, 4), LLaMa-2 (7B, 13B, 70B) y OpenChat (3.5), programados específicamente para interactuar con estas vulnerabilidades de seguridad. Es importante señalar que las pruebas se realizaron en un entorno virtual aislado para evitar cualquier riesgo de daño real.
Resultados: el agente GPT-4 logró explotar el 87% de las vulnerabilidades presentadas, superando claramente el rendimiento de otros modelos LLM, que no mostraron ninguna efectividad (0%). Por otro lado, sin acceso a las descripciones CVE, la tasa de éxito de GPT-4 cayó al 7%. Esto es mucho menos impresionante, pero igualmente revelador sobre el potencial de los agentes LLM para explotar vulnerabilidades complejas con casi perfecta autonomía.
Repensar la ciberseguridad para anticiparse a nuevas amenazas
Para el equipo a cargo del experimento, este descubrimiento plantea preguntas críticas sobre el futuro de la ciberseguridad. El potencial de uso malicioso de dichos agentes LLM resalta la necesidad urgente de reconsiderar las estrategias de seguridad digital. De hecho, si los LLM como GPT-4 pueden aprender a explotar vulnerabilidades complejas de manera autónoma, esto podría permitir a los ciberatacantes orquestar ataques más sofisticados y difíciles de detectar.
Por otro lado, esta tecnología ofrece oportunidades para fortalecer las medidas de defensa. Las empresas y las organizaciones de seguridad podrían utilizar estas capacidades para identificar y remediar las vulnerabilidades de seguridad antes de que sean explotadas. Por lo tanto, es imperativo que las partes interesadas en la ciberseguridad comiencen a integrar agentes LLM en sus protocolos de prueba y refuerzo de sistemas para anticipar tales amenazas antes de que se materialicen. Aún así, según el equipo de UIUC, la regulación y el control del uso de estas tecnologías también representan cuestiones que requieren colaboración internacional para prevenir abusos.
BLOG
El uso indebido de ChatGPT perjudica el rendimiento académico y provoca pérdida de memoria
El uso generalizado de inteligencia artificial generativa, como ChatGPT, en el ámbito académico está generando preocupación creciente entre investigadores y educadores. Aunque muchos estudiantes consideran esta tecnología una solución rápida...
ChatGPT: La IA es más humana que algunos estudiantes, según demuestra este sorprendente estudio
Cuando se evalúan las capacidades de grandes modelos de lenguaje como ChatGPT, la mayoría de los estudios se centran en su habilidad para extraer información fáctica, ejecutar razonamientos lógicos o...
La doble amenaza que ChatGPT representa para los secretos corporativos
Una vez que aprenden a usarlo, cada vez más empleados están utilizando ChatGPT para simplificar sus tareas, como responder correos electrónicos, preparar presentaciones o codificar software. Según Cyberhaven, una empresa...
ChatGPT presenta una nueva característica interesante… de la cual Europa se ve privada
ChatGPT finalmente incorporará la función de “memoria”. Esta característica, útil para recordar detalles sobre usted, lamentablemente no estará disponible en Europa. OpenAI lo anunció y ya es una realidad: ChatGPT...
ChatGPT dice cualquier cosa sobre los internautas y es atacado
Se avecinan nuevos problemas para OpenAI, la empresa detrás de ChatGPT. El activista austriaco Max Schrems, conocido por su activismo contra los gigantes de internet en cuestiones de datos personales,...
La inteligencia artificial de código abierto: una solución adaptativa y segura
Un artículo de Le Monde nos alertó el 13/02: ¡las IA están fallando! Esas IA, que generaron tanto entusiasmo y excitación al principio, ¿necesitan ahora que tomemos distancia? ¿Existen riesgos...