به گزارش دلچسب
محققان توانستند با پیروزی بیشتر از نیمی از وبسایتهای آزمایشی خود را با منفعت گیری از باتهای GPT-4 هک کنند. این مدل در روش ابداعی محققان، میتواند باتهای جدیدی برای انجام ماموریت های خاص تشکیل کند. بهطورکلی، نتایج این پژوهش میتواند برای جلوگیری از سوءاستفاده از مدلهای هوش مصنوعی در هکهای روز صفر سودمند باشد.
بر پایه گزارش نیواطلس، محققان دانشگاه ایلینوی اربانا-شمپین توانستند از روشی بهنام «برنامهریزی سلسلهمراتبی با عاملهای ماموریتمحور» یا «HPTSA» برای تشکیل خودکار چندین بات از یک مدل زبانی بزرگ منفعت گیری کنند؛ در این روش GPT-4 میتواند باتهای فرد دیگر بسازد و به این ترتیب از صدمهپذیریهای روز صفر و ناشناخته برای هککردن منفعت گیری کند.
چند ماه پیش همین محققان توانستند از GPT-4 برای هک خودکار صدمهپذیریهای روز اول یا N-day (نقصهای امنیتی که شناخته شده، اما تا این مدت اصلاح نشدهاند) منفعت ببرند. به حرف های محققان اگر لیست صدمهپذیریهای شناختهشده به GPT-4 داده شود، این هوش مصنوعی میتواند به تنهایی از ۸۷ درصد از این صدمهپذیریها برای هک منفعت گیری کند.
منفعت گیری از هوش مصنوعی GPT-4 برای شناسایی نقصهای امنیتی
محققان در پژوهش تازه خود، با روش HPTSA بهجای تعلقدادن یک مدل هوش مصنوعی برای حل تعداد بسیاری از مسائل پیچیده، از یک «عامل برنامهریزی» (Planning agent) منفعت گیری کردهاند که همانند یک مدیر بر کل فرایند نظارت میکند و خود چندین زیرمجموعه Subagent میسازد که هر کدام اختصاصی کاری می باشند. فرایند این کار زیاد همانند به سازمانی با یک رئیس و چند کارمند است که در آن عامل برنامهریزی با عوامل دیگر مسائل گوناگون را بازدید و رفع میکند.
هنگامی که مدلهای هوش مصنوعی با روش HPTSA در برابر ۱۵ صدمهپذیری در وب قرار گرفتند، توانستند ۵۵۰ درصد کارآمدتر از یک مدل معمولی عمل کنند. بهعبارت دقیقتر آنها توانستند ۸ صدمهپذیری از ۱۵ صدمهپذیری روز صفر را هک کنند (یعنی با نرخ پیروزی تقریبی ۵۳ درصدی). در روبه رو یک مدل فردی توانست تنها در هک ۳ مورد از ۱۵ صدمهپذیری موفق باشد.
از سویی این نگرانی وجود دارد که این مدلها به برخی کاربران اجازه دهند تا بهطور مخرب به وبسایتها و پلتفرمها دعوا کنند. اما محققان این پژوهش میگویند که چتبات GPT-4 به تنهایی قادر به هککردن چیزی نیست.
دسته بندی مطالب