zurück zum Artikel

Auf Basis öffentlich einsehbarer Informationen kann das Sprachmodell GPT-4 autark Software-Schwachstellen ausnutzen.

Sicherheitsforscher haben unter anderem das große Sprachmodell (Large Language Model, LLM) GPT-4 mit Beschreibungen aus Sicherheitswarnungen gefüttert. Im Anschluss konnte es im Großteil der Fälle die beschriebenen Sicherheitslücken erfolgreich ausnutzen.

Hohe Erfolgsquote

In ihrem Paper geben die Forscher an [1], LLMs mit Informationen zu Sicherheitslücken gefüttert zu haben. Solche Details sind öffentlich in sogenannten CVE-Beschreibungen verfügbar. Sie sind dafür da, dass Admins und Sicherheitsforscher ein besseres Verständnis für bestimmte Attacken bekommen, um Systeme effektiv abzusichern.

Die Forscher geben an, dass GPT-4 in 87 Prozent der Fälle die Lücken erfolgreich attackiert hat. Bei anderen LLMs wie GPT-3.5 lag die Erfolgsquote bei 0 Prozent. Ohne die Informationen aus einer CVE-Beschreibung soll GPT-4 immerhin noch in 7 Prozent der Fälle erfolgreich gewesen sein.

Das ist ein weiterer Schritt in Richtung von automatisierten Cyberattacken. Schon in der jüngsten Vergangenheit ließen Sicherheitsforscher GPT-3 überzeugende Phishingmails schreiben [2].

(des [5])

URL dieses Artikels:
https://www.heise.de/-9690533

Links in diesem Artikel:
[1] https://arxiv.org/abs/2404.08144
[2] https://www.heise.de/news/Sicherheitsforscher-lassen-KI-GPT-3-ueberzeugende-Phishing-Mails-schreiben-7461383.html
[3] https://www.heise.de/thema/lost%2Bfound
[4] https://www.heise.de/thema/lost%2Bfound
[5] mailto:des@heise.de

Copyright © 2024 Heise Medien