GPT-4 научился автономно взламывать уязвимости нулевого дня

Группа хакеров опубликовала документ, в котором говорится, что им удалось использовать чат-бота на базе языковой модели GPT-4 для автономного взлома уязвимостей нулевого дня. Другими словами, софт ищет недавно найденные «дыры» в безопасности. По итогам эксперимента GPT-4 смог самостоятельно использовать 87% критических уязвимостей.

Авторы исследования успешно взломали более половины тестовых веб-сайтов, используя автономные группы ботов на основе GPT-4. Чат-боты при этом координировали свои действия и создавали новых ботов по своему желанию.

Для реализации этой цели хакеры использовали специального «агента планирования», контролирующего весь процесс вместе с запуском нескольких «субагентов», ответственных за разные типы задач. Каждый «субагент» координировал действия с управляющим «агентом», делегирующим все усилия и тем самым уменьшая нагрузку на более мелких «агентов».

При поиске 15 реальных веб-уязвимостей алгоритмы HPTSA оказались на 550% эффективней в сравнении с классическими крупными языковыми моделями (LLM). В ходе эксперимента такой подход позволил взломать 8 из 15 уязвимостей нулевого дня, в то время как LLM удалось взломать только три.