محققان توانستند با موفقیت بیش از نیمی از وب‌سایت‌های آزمایشی خود را با استفاده از بات‌های GPT-4 هک کنند. این مدل در روش ابداعی محققان، می‌تواند بات‌های جدیدی برای انجام وظایف خاص تولید کند. به‌طورکلی، نتایج این پژوهش می‌تواند برای جلوگیری از سوءاستفاده‌ از مدل‌های هوش مصنوعی در هک‌های روز صفر مفید باشد.

براساس گزارش نیواطلس، محققان دانشگاه ایلینوی اربانا-شمپین توانستند از روشی به‌نام «برنامه‌ریزی سلسله‌مراتبی با عامل‌های وظیفه‌محور» یا «HPTSA» برای تولید خودکار چندین بات از یک مدل زبانی بزرگ استفاده کنند؛ در این روش GPT-4 می‌تواند بات‌های دیگری بسازد و به این ترتیب از آسیب‌پذیری‌های روز صفر و ناشناخته برای هک‌کردن استفاده کند.

چند ماه پیش همین محققان توانستند از GPT-4 برای هک خودکار آسیب‌پذیری‌های روز اول یا N-day (نقص‌های امنیتی که شناخته شده‌، اما هنوز اصلاح نشده‌اند) بهره ببرند. به گفته محققان اگر فهرست آسیب‌پذیری‌های شناخته‌شده به GPT-4 داده شود، این هوش مصنوعی می‌تواند به تنهایی از 87 درصد از این آسیب‌پذیری‌ها برای هک استفاده کند.

استفاده از هوش مصنوعی GPT-4 برای شناسایی نقص‌های امنیتی

محققان در پژوهش جدید خود، با روش HPTSA به‌جای اختصاص‌دادن یک مدل هوش مصنوعی برای حل بسیاری از مسائل پیچیده، از یک «عامل برنامه‌ریزی» (Planning agent) استفاده کرده‌اند که همانند یک مدیر بر کل فرایند نظارت می‌کند و خود چندین زیرمجموعه Subagent می‌سازد که هر کدام مختص کاری هستند. فرایند این کار بسیار شبیه به سازمانی با یک رئیس و چند کارمند است که در آن عامل برنامه‌ریزی با عوامل دیگر مسائل مختلف را تحلیل و برطرف می‌کند.

هنگامی که مدل‌های هوش مصنوعی با روش HPTSA در برابر 15 آسیب‌پذیری در وب قرار گرفتند، توانستند 550 درصد کارآمدتر از یک مدل معمولی عمل کنند. به‌عبارت دقیق‌تر آن‌‎ها توانستند 8 آسیب‌پذیری از 15 آسیب‌پذیری روز صفر را هک کنند (یعنی با نرخ موفقیت تقریبی 53 درصدی). در مقابل یک مدل انفرادی توانست تنها در هک 3 مورد از 15 آسیب‌پذیری موفق باشد.

از سویی این نگرانی وجود دارد که این مدل‌ها به برخی کاربران اجازه دهند تا به‌طور مخرب به وب‌سایت‌ها و پلتفرم‌ها حمله کنند. اما محققان این پژوهش می‌گویند که چت‌بات GPT-4 به تنهایی قادر به هک‌کردن چیزی نیست.

خبرکاو