GPT-4, mô hình ngôn ngữ lớn đa phương thức mới nhất của OpenAI, đã cho thấy khả năng đáng kể trong việc xác định các lỗ hổng bảo mật mà không cần sự can thiệp của con người.
Gần đây, các nhà nghiên cứu đã chứng minh rằng LLM và công nghệ chatbot có thể được sử dụng cho mục đích xấu, như phát tán sâu máy tính tự sao chép. Nghiên cứu mới nhất cho thấy GPT-4 có thể khai thác các lỗ hổng bảo mật nguy hiểm chỉ bằng cách phân tích chi tiết về chúng.
Các nhà nghiên cứu đã kiểm tra khả năng của GPT-4 cùng với các công cụ khác như ZAP và Metasploit trên một loạt lỗ hổng bảo mật chưa được sửa chữa, bao gồm các lỗi trang web và lỗi vùng chứa. Họ phát hiện ra rằng GPT-4 có thể tự động khai thác hầu hết các lỗ hổng này mà không cần các công cụ phát hiện lỗ hổng nguồn mở truyền thống.
Trợ lý giáo sư Daniel Kang từ Đại học Illinois Urbana-Champaign (UIUC), người đứng đầu nghiên cứu này, nhấn mạnh rằng GPT-4 có khả năng tự động khai thác các lỗ hổng zero-day, một kỹ năng không được phát hiện bởi các máy quét lỗ hổng nguồn mở. Ông Kang cũng dự đoán rằng với sự phát triển của GPT-5, những "đặc vụ LLM" có thể trở thành công cụ phổ biến trong việc khai thác lỗ hổng và tội phạm mạng.
Để khai thác hiệu quả các lỗ hổng zero-day công khai, GPT-4 cần quyền truy cập vào mô tả CVE đầy đủ và thông tin bổ sung. Ông Kang đề xuất rằng các tổ chức bảo mật nên hạn chế công bố thông tin chi tiết về lỗ hổng để giảm thiểu khả năng khai thác của GPT-4.
Tuy nhiên, ông cũng nhận ra rằng "bảo mật thông qua sự tối nghĩa" có thể không phải là giải pháp hiệu quả nhất và khuyến khích việc áp dụng các biện pháp bảo mật chủ động hơn để đối phó với các mối đe dọa từ các chatbot hiện đại.