24 novembre 2024

Krusell France

Ta dose d'actu digital !

Equipe GPT-4: Des Experts en Sécurité Crèvent les Vulnérabilités Zero-Day

Multiple ChatGPT instances work together to find and exploit security flaws — teams of LLMs tested by UIUC beat single bots and dedicated software
Rate this post

Avec l’avènement des équipes de GPT-4, il est désormais possible d’identifier et d’exploiter des vulnérabilités de sécurité zero-day de manière autonome, et ce, sans aucune description de la nature de la faille. Cette nouveauté, avec un agent de planification commandant une équipe de LLM spécialisés, fonctionne de manière plus rapide et plus intelligente que les experts humains ou les logiciels dédiés.

GPT-4 : Une avancée majeure dans la sécurité

Des chercheurs de l’Université de l’Illinois à Urbana-Champaign (UIUC) se sont penchés depuis plusieurs mois sur la capacité de l’IA à exploiter des failles de sécurité. Ils ont tout d’abord publié sur la capacité inégalée de ChatGPT à exploiter des failles de sécurité lorsqu’on lui fournit des descriptions de la nature de la vulnérabilité. Depuis, de nouvelles avancées ont été réalisées en innovant sur le système HPTSA (Hierarchical Planning and Task-Specific Agents) de l’université, permettant au modèle GPT-4 de travailler en équipe pour être plus de deux fois plus efficace.

Le fonctionnement de HPTSA

Concrètement, HPTSA utilise une collection de LLM pour résoudre des problèmes avec des taux de réussite plus élevés. Le planificateur examine le site web ou l’application pour déterminer quels exploits essayer, en les attribuant à un gestionnaire qui délègue aux agents LLM spécifiques à la tâche.

Ce système, bien que complexe, représente une nette amélioration par rapport aux recherches antérieures de l’équipe et même aux logiciels de scan de vulnérabilités en open-source. Lors d’un essai portant sur 15 vulnérabilités de sécurité, la méthode HPTSA a réussi à exploiter avec succès 8 des 15 vulnérabilités, surpassant un seul agent GPT-4 qui n’en a exploité que 3 sur 15, et surpassant les logiciels ZAP et MetaSploit, qui n’ont pas réussi à exploiter une seule vulnérabilité.

Des performances impressionnantes

La méthode HPTSA a été seulement surpassée par un agent GPT-4 à qui la description de la vulnérabilité a été fournie dans son prompt, avec un taux de réussite de 11 sur 15. Cet agent était le point culminant de l’étude originale d’avril de l’UIUC, qui s’est révélée être supérieure aux hackers humains en termes de vitesse et d’efficacité.

L’équipe de recherche de l’UIUC continue de révéler la vérité troublante selon laquelle les grands modèles de langage ont des capacités au-delà de ce qui est évident en surface. OpenAI évalue la sécurité de ses logiciels en fonction de ce qu’il peut trouver à partir du chatbot en surface, mais avec des prompts soigneusement formulés, ChatGPT peut être utilisé pour craquer la cybersécurité ou même vous apprendre à cuisiner de la méthamphétamine.

Source : www.tomshardware.com

  • romain barry portrait redacteur

    Expert en informatique, Romain a une formation en ingénierie informatique et une passion pour les gadgets high tech. Il partage ses connaissances sur les derniers smartphones, les composants matériels et les astuces pour optimiser les performances des PC.

    Voir toutes les publications