Το μέλλον των δοκιμών διείσδυσης και του κυνηγιού
ευπάθεια
ς πιθανότατα δεν θα είναι με την τεχνητή νοημοσύνη, αλλά μάλλον με τις τεχνητές νοημοσύνης – όπως και σε πολλαπλάσια, έχουν προειδοποιήσει ειδικοί σε θέματα ασφάλειας.
Ερευνητές από το Πανεπιστήμιο του Illinois Urbana-Champaign (UIUC) διαπίστωσαν ότι μια ομάδα Μεγάλων Γλωσσικών Μοντέλων (LLM) ξεπέρασε τις επι
δόσεις
της μεμονωμένης χρήσης τεχνητής νοημοσύνης και ξεπέρασε σημαντικά το λογισμικό ZAP και MetaSploit.
“Αν και οι μεμονωμένοι πράκτορες AI είναι απίστευτα ισχυροί, περιορίζονται από τις υπάρχουσες δυνατότητες LLM. Για παράδειγμα, εάν ένας πράκτορας AI ακολουθήσει ένα μονοπάτι (π.χ. προσπαθεί να εκμεταλλευτεί ένα XSS), είναι δύσκολο για τον πράκτορα να κάνει πίσω και να προσπαθήσει να εκμεταλλευτεί μια άλλη ευπάθεια», σημείωσε ο ερευνητής Daniel Kang, «Επιπλέον, οι LLMs έχουν καλύτερη
απόδοση
όταν εστιάζουν σε μια μεμονωμένη εργασία».
Αποτελεσματικό σύστημα
Το μειονέκτημα του κυνηγιού της τεχνητής νοημοσύνης για τρωτά σημεία είναι, ταυτόχρονα, το μεγαλύτερο πλεονέκτημά του – μόλις ακολουθήσει μια διαδρομή, δεν μπορεί να κάνει πίσω και να ακολουθήσει διαφορετική διαδρομή. Επίσης, αποδίδει καλύτερα όταν εστιάζει σε μια μεμονωμένη εργασία.
Ως εκ τούτου, η ομάδα σχεδίασε ένα σύστημα που ονομάζεται Hierarchical Planning and Task-Specific Agents (HPTSA), το οποίο αποτελείται από έναν Planner, έναν Manager και πολλούς πράκτορες. Σε αυτό το σύστημα, ένας υπεύθυνος σχεδιασμού ερευνά την εφαρμογή (ή τον ιστότοπο) για να προσπαθήσει να προσδιορίσει ποιες εκμεταλλεύσεις θα εξερευνήσει και, στη συνέχεια, τις αναθέτει σε έναν διαχειριστή. Στη συνέχεια, ο διαχειριστής αναθέτει διαφορετικούς τρόπους σε διαφορετικούς πράκτορες LLM.
Αν και το σύστημα μπορεί να ακούγεται περίπλοκο, στην πράξη έχει αποδειχθεί αρκετά αποτελεσματικό. Από τα 15 τρωτά σημεία που δοκιμάστηκαν στο πείραμα, το HPTSA εκμεταλλεύτηκε 8 από αυτά. Ένας μεμονωμένος παράγοντας
GPT-4
εκμεταλλεύτηκε μόλις 3, πράγμα που σημαίνει ότι το HPTSA ήταν περισσότερο από δύο φορές πιο αποτελεσματικό. Συγκριτικά, το λογισμικό ZAP και MetaSploit δεν μπορούσαν να εκμεταλλευτούν ούτε μία ευπάθεια.
Υπήρξε μια περίπτωση κατά την οποία ένας μεμονωμένος παράγοντας GPT-4 είχε καλύτερη απόδοση από το HPTSA, και αυτό ήταν όταν του δόθηκε μια περιγραφή της ευπάθειας στην προτροπή. Με αυτόν τον τρόπο, κατάφερε να εκμεταλλευτεί
11
από τα 15 τρωτά σημεία. Ωστόσο, αυτό απαιτεί από τον ερευνητή να δημιουργήσει προσεκτικά την προτροπή, την οποία πολλοί άνθρωποι μπορεί να μην μπορούν να μιμηθούν.
Τα μηνύματα που χρησιμοποιούνται σε αυτό το πείραμα δεν θα κοινοποιηθούν δημόσια και θα δοθούν μόνο σε άλλους ερευνητές κατόπιν αιτήματος, όπως ειπώθηκε.
Μέσω
Tom’s Hardware
VIA:
TechRadar.com/
0