搭载了GPT-4的人工智能(AI)代理可以轻松利用网络系统中的公共漏洞进行自动攻击,从而对网络安全带来新的挑战。
伊利诺伊大学厄巴纳 – 香槟分校(UIUC)的研究,他们发现GPT-4可以利用大多数公共漏洞进行自动攻击,从而提高了网络威胁的严重性。这种情况使得组织需要考虑应用更加严密的安全最佳实践来防范威胁。如果黑客开始使用人工智能来自动利用公共漏洞,组织将不再能够坐下来等待补丁发布修复问题。 他们可能不得不开始使用相同的技术手段来对抗黑客。
研究团队使用了一个测试框架,对15个已知漏洞进行了测试,包括影响网站、容器和Python包的漏洞。结果显示,GPT-4成功地利用了13个漏洞,表现优于其他模型。然而,尽管GPT-4在利用漏洞方面表现出色,但它仍然存在一些失败的情况,例如无法处理特定的漏洞描述。 失败的两个公共漏洞是CVE-2024-25640和CVE-2023-51653。
CVE-2024-25640是Iris事件响应平台中4.6 CVSS评级的问题,由于在Iris应用程序导航过程中的一个怪癖,该模型无法处理。 与此同时,研究人员推测GPT-4错过了CVE-2023-51653——赫兹比特监测工具中的一个9.8″关键”错误,因为它的描述是用中文写的。
研究人员认为虽然AI代理可能带来威胁,但目前尚不能解锁人类无法达到的新功能。因此,组织应该采取安全最佳实践来防止黑客攻击,因为他们可能开始利用AI代理来自动化攻击。尽管GPT-4在某些方面表现出色,但仍然有改进的空间,特别是在处理混淆代码和产生假阳性和假阴性方面。因此,尽管AI代理可以帮助检测恶意软件或潜在的漏洞,但仍然需要人工审查的支持,并且应该将AI代理视为审查的补充而不是替代品。
