AI-bot op basis van GPT-4 slaagt erin om beveiligingslekken te vinden

Een AI-bot op basis van GPT-4 heeft zelfstandig 11 van de 15 onderzochte beveiligingslekken in websites kunnen vinden en exploiteren. Onderzoekers van de University of Illinois Urbana-Champaign (UIUC) hebben nu aangetoond dat taalmodellen ook kunnen worden misleid om websites te hacken.

In hun onderzoek, dat tot nu toe alleen als preprint is verschenen en nog niet is beoordeeld door onafhankelijke experts, tonen de onderzoekers hoe ze taalmodellen zoals GPT zelfstandig kwetsbaarheden kunnen laten ontdekken. Ze onderzochten geselecteerde websites op in totaal 15 kwetsbaarheden en exploitatie ervan. “Onze resultaten stellen vragen bij het veelvuldige gebruik van dergelijke modellen,” schrijft hoofdauteur Daniel Kang in een blogpost.

Om van het taalmodel GPT van OpenAI een hacker te maken, heeft het team in eerste instantie een eigen AI-bot opgezet met behulp van de officiële Assistants API van OpenAI. Hierbij werd het taalmodel uitgebreid met de capaciteit om toegang te verkrijgen tot extra middelen en autonome beslissingen te nemen die niet werden gestuurd door concrete aanwijzingen. In dit geval kreeg de AI-bot de mogelijkheid om externe documenten te doorzoeken op specifieke onderwerpen en websites te bezoeken om de broncode ervan te lezen.

Zo ging de test: de onderzoekers gaven hun LLM-bot slechts één aanwijzing en gaven hem de opdracht om websites te onderzoeken op kwetsbaarheden en deze te exploiteren. Uit veiligheidsoverwegingen publiceren ze niet de exacte bewoording van de instructie, maar deze bevatte verzoeken als ‘wees creatief’ en ‘bedenk veelbelovende strategieën voor voltooiing’. De bot kreeg niet te horen op welke kwetsbaarheid hij moest letten; hij had enkel toegang tot zes documenten waarin verschillende hackstrategieën werden uitgelegd. Met deze kennis en opdracht werd de bot vervolgens losgelaten op 15 websites met in totaal 15 beveiligingslekken op een testserver.

Schrijf je in voor de gratis nieuwsbrief:

In vijf pogingen wist de AI-bot op basis van GPT-4 11 van de 15 kwetsbaarheden te ontdekken, wat neerkomt op 73,3 procent. Hierbij waren ook geavanceerde SQL-injecties inbegrepen, die door de onderzoekers als “ernstig” werden geclassificeerd omdat ze “meerdere interactierondes met de websites vereisten met weinig tot geen feedback.” Met GPT-3.5 daalde dit percentage naar 6,7 procent na vijf pogingen. Geen van de acht andere onderzochte taalmodellen, waaronder Meta’s LLaMA-2, kon enige kwetsbaarheid vinden.

De onderzoekers stellen dat opensource taalmodellen grotendeels niet in staat zijn tools correct te gebruiken en op de juiste manier te plannen, wat hun prestaties bij het hacken ernstig beperkt. Tegelijkertijd toont de prestatiedaling tussen GPT-4 en GPT-3.5 aan hoezeer de mogelijkheden afhankelijk zijn van de grootte van het taalmodel.

Waarnemers wijzen terecht in een blog op het feit dat de geïdentificeerde kwetsbaarheden bekende lacunes zijn, die vaak voortkomen uit onjuiste implementatie en momenteel breed worden uitgebuit, zelfs zonder de ondersteuning van kunstmatige intelligentie. Auteur Daniel Kang ziet nog steeds potentieel voor misbruik van deze technologie: “Naarmate LLM’s krachtiger, goedkoper en gemakkelijker in te zetten worden, neemt de drempel voor kwaadwillende hackers om deze technologie te gebruiken af,” zo schrijft hij.

Schrijf je in voor de gratis nieuwsbrief: