Исследование показывает, что искусственный интеллект может взламывать веб-сайты
Ученые из Иллинойского университета в Урбан-Шампейне провели исследование, показавшее, что большие языковые модели (LLM), такие как GPT-4, могут автономно обнаруживать и использовать уязвимости в веб-приложениях без участия человека.
В исследовании использовался ряд LLM, включая GPT-4 и GPT-3.5 от OpenAI, а также LLaMA-2 и несколько других моделей с открытым исходным кодом, для проверки их способности взламывать веб-сайты. Используя доступ к API, автоматический просмотр веб-страниц и планирование на основе обратной связи, эти ИИ-агенты смогли автономно выявить и использовать до 15 различных типов уязвимостей, таких как SQL-инъекции, межсайтовый скриптинг (XSS) и подделка межсайтового запроса (CSRF).
Эксперимент, проведенный в контролируемой изолированной среде, показал, что GPT-4 превзошел свои аналоги с коэффициентом успешности 73,3 % при эксплуатации уязвимостей веб-сайтов. Такой высокий показатель успешности демонстрирует глубокое понимание и возможности применения GPT-4 в контексте кибербезопасности.
Кроме того, в ходе исследования были изучены экономические аспекты использования LLM для борьбы с нарушениями кибербезопасности: сравнивалась экономическая эффективность использования агентов искусственного интеллекта и найма специалистов по тестированию на проникновение (пентестеров). При общем коэффициенте успешности тестируемых моделей в 42,7 % средняя стоимость использования LLM для взлома составила 9,81 доллара на один сайт при 80 долларах за попытку при использовании услуг эксперта-человека, что свидетельствует о значительном снижении затрат, которое потенциально может стимулировать злонамеренное использование технологий ИИ в кибератаках.
Что принесет нам развитие ИИ: