Schéma d'architecture global de HPTSA. Nous avons d’autres agents experts spécifiques à des tâches en plus de ceux du diagramme. Crédit: arXiv (2024). DOI : 10.48550/arxiv.2406.01637
Une équipe d'informaticiens de l'Université de l'Illinois à Urbana-Champaign a découvert que le piratage des failles de sécurité du jour zéro à l'aide de la méthode de planification hiérarchique avec des agents spécifiques à des tâches (HPTSA) est bien plus efficace que l'utilisation d'agents individuels. Le groupe a publié un article sur arXiv serveur de prépublication décrivant leurs tentatives d'utilisation de LLM comme GPT-4 pour trouver des vulnérabilités dans les sites Web.
Dans un effort récent, la même équipe de recherche a utilisé GPT-4 pour pirater des vulnérabilités d'un jour sur des sites Web aléatoires. Les vulnérabilités d'un jour sont celles qui sont connues mais qui n'ont pas encore été corrigées. Ils ont découvert qu’ils étaient capables d’exploiter 87 % des vulnérabilités et des expositions courantes en utilisant un seul LLM.
Dans ce nouvel effort, ils ont élargi leurs recherches pour inclure les vulnérabilités du jour zéro, qui sont celles qui ne sont pas encore connues, du moins de la communauté des hackers dans son ensemble. Dans le cadre de ce nouvel effort, ils ont utilisé des LLM guidés par la méthode HPTSA.
Dans la méthode HPTSA, les agents se voient attribuer des tâches par une entité centrale, qui surveille ensuite ses agents pour voir ce qu'ils font et dans quelle mesure, et les repositionne si nécessaire. C’est similaire aux projets menés par des humains.
En utilisant une telle approche pour pirater un ou plusieurs sites Web, plusieurs efforts peuvent être déployés en même temps, augmentant considérablement les chances de trouver des vulnérabilités et le nombre de vulnérabilités trouvées. Dans ce nouvel effort, plusieurs instances d'une version modifiée de GPT-4 ont été exécutées en tant qu'agents.
Lorsqu’ils ont comparé leurs résultats à d’autres applications réelles, la méthode s’est révélée 550 % plus efficace. L’équipe de recherche reconnaît la possibilité que leurs découvertes puissent aider des pirates informatiques malveillants, mais insiste sur le fait que rien de ce qu’ils ont fait ne serait utile aux pirates informatiques en général.
Les chatbots tels que GPT-4, notent-ils, ne disposent pas de la compréhension nécessaire pour interpréter les demandes de piratage d'un site Web ou pour rechercher des vulnérabilités. Les utilisateurs qui tentent de le faire recevront des messages indiquant que le système ne comprend pas la demande.
Plus d'information:
Richard Fang et al, Les équipes d'agents LLM peuvent exploiter les vulnérabilités Zero-Day, arXiv (2024). DOI : 10.48550/arxiv.2406.01637
arXiv
© 2024 Réseau Science X
Citation: Utilisation de GPT-4 avec la méthode HPTSA pour pirater de manière autonome les failles de sécurité du jour zéro (2024, 12 juin) récupéré le 12 juin 2024 sur
Ce document est soumis au droit d'auteur. En dehors de toute utilisation équitable à des fins d'étude ou de recherche privée, aucune partie ne peut être reproduite sans autorisation écrite. Le contenu est fourni seulement pour information.
