Des chercheurs américains ont révélé que GPT-4 pouvait exploiter des vulnérabilités one-day sur des systèmes réels, et ce, en parfaite autonomie. Une découverte qui marque un tournant pour le futur de la cybersécurité.
Que les grands modèles de langage (LLM) soient capables de pirater des applications n’est pas nouveau en soi. De récents travaux de recherche avaient déjà pu prouver qu’ils étaient capables de hacker des sites web grâce à l’exploitation de vulnérabilités simples. En revanche, des chercheurs américains de l’Université de l'Illinois à Urbana-Champaign (UIUC) viennent tout juste de démontrer que GPT-4 pouvait aussi exploiter des failles autrement complexes, sans intervention humaine directe.
Un agent GPT-4 plus autonome que jamais
Pour mener à bien cette recherche, l'équipe de l’UIUC a d'abord constitué une base de données de quinze vulnérabilités one-day (failles déjà connues des éditeurs et développeurs) de niveaux de criticité différents (moyen à critique), à partir d’informations issues de registres CVE et de publications scientifiques. Ils ont ensuite développé plusieurs agents basés sur différents LLM, dont GPT (3.5, 4), LLaMa-2 (7B, 13B, 70B) et OpenChat (3.5), spécifiquement programmés pour interagir avec ces failles de sécurité. À noter que les tests ont été effectués dans un environnement virtuel isolé afin d'éviter tout risque de dommage réel.
Résultats : l'agent GPT-4 a réussi à exploiter 87 % des vulnérabilités soumises, surpassant nettement les performances d'autres modèles LLM qui, eux, n'ont montré strictement aucune efficacité (0 %). En revanche, sans accès aux descriptions CVE, GPT-4 a vu son taux de succès chuter à 7 %. C’est certes beaucoup moins impressionnant, mais tout autant révélateur sur le potentiel des agents LLM à exploiter des failles complexes en (presque) parfaite autonomie.
Repenser la cybersécurité pour anticiper de nouvelles menaces
Pour l’équipe en charge de l’expérimentation, cette découverte pose des questions critiques concernant l'avenir de la cybersécurité. Le potentiel d'utilisation malveillante de tels agents LLM souligne un besoin urgent de reconsidérer les stratégies de sécurité numérique. En effet, si des LLM comme GPT-4 peuvent apprendre à exploiter des vulnérabilités complexes de manière autonome, cela pourrait permettre à des cyberattaquants d'orchestrer des attaques plus sophistiquées et difficiles à détecter.
D'un autre côté, cette technologie offre des opportunités pour renforcer les mesures de défense. Les entreprises et les organismes de sécurité pourraient utiliser ces capacités pour identifier et corriger les failles de sécurité avant qu'elles ne soient exploitées. Il est donc impératif que les acteurs en charge de la cybersécurité commencent à intégrer des agents LLM dans leurs protocoles de test et de renforcement des systèmes pour anticiper de telles menaces avant qu’elles ne soient opérationnelles. Toujours selon l’équipe de l’UIUC, la régulation et le contrôle de l'utilisation de ces technologies représentent également des enjeux soulevés, nécessitant une collaboration internationale pour prévenir les abus.
- Chat dans différentes langues, dont le français
- Générer, traduire et obtenir un résumé de texte
- Générer, optimiser et corriger du code
Créé par OpenAI, ChatGPT est un chatbot avancé propulsé par le modèle linguistique de dernière génération GPT-4. En exploitant des technologies d'apprentissage en profondeur et d'intelligence artificielle, ce chatbot a la capacité de déchiffrer et de comprendre les demandes des utilisateurs. Grâce à son habileté à générer du texte de manière ingénieuse, ChatGPT offre des réponses adaptées et pertinentes, garantissant une interaction de chat fluide et une expérience utilisateur optimisée.
Créé par OpenAI, ChatGPT est un chatbot avancé propulsé par le modèle linguistique de dernière génération GPT-4. En exploitant des technologies d'apprentissage en profondeur et d'intelligence artificielle, ce chatbot a la capacité de déchiffrer et de comprendre les demandes des utilisateurs. Grâce à son habileté à générer du texte de manière ingénieuse, ChatGPT offre des réponses adaptées et pertinentes, garantissant une interaction de chat fluide et une expérience utilisateur optimisée.
Source : Cornell University
Débarquée chez Clubic en 2020 pour parler logiciels, applications et systèmes d’exploitation, je me suis peu à peu spécialisée dans le domaine de la cybersécurité. J’écris essentiellement sur les VPN, mais je couvre aussi les sujets liés à la sécurité des systèmes et des réseaux.
Lire d'autres articles
