Un grupo de investigadores de la Universidad de Illinois Urbana-Champaign (Estados Unidos) ha descubierto que el modelo de lenguaje GPT-4 es capaz de identificar vulnerabilidades de seguridad sin requerir ayuda humana y que, además, puede explotar 'ataques de día cero' (zero-day attack, en inglés).
El estudio, compartido en el repositorio Arxiv, pone evidencia que los modelos de lenguaje grandes (LLM, por sus siglas en inglés) tienen yba gran potencial para ejecutar acciones con fines maliciosos si se manipulan con ese propósito. Además, los investigadores Richard Fang, Rohan Bindu, Akil Gupta y Daniel Kang reconocen la capacidad de estos modelos para piratear sitios web de forma autónoma; no obstante, matizan que dicho estudio "se limita a vulnerabilidades simples".
Por otro lado, los cuatro expertos han optado por recopilar un conjunto de datos de 15 vulnerabilidades, categorizadas como de gravedad crítica, para demostrar cómo actúa ante ellas un agente impulsado por GPT-4. Y según el estudio, la iteración más avanzada de este modelo de OpenAI consiste en explotar vulnerabilidades de seguridad en distintos sistemas de forma autónoma, es decir, sin tener que contar con asistencia humana externa.
Tanto es así que GPT-4 pudo explotar el 87% de estas vulnerabilidades, lo que contrasta con el LLM GPT-3.5, que no pudo hacerlo en ninguno de los casos. Sin embargo, los investigadores indican que esto fue posible porque los ataques disponían de una descripción completa de CVE, por lo que tanto GPT-4 aprovechó para explotarlas –sin esta información adicional, el modelo solo hubiese explotado el 7% de las vulnerabilidades–.
Para evitar que los ciberdelincuentes exploten ciberataques 'de día cero', el investigador Daniel Kang recomienda que las organizaciones de seguridad podrían abstenerse de publicar informes detallados sobre las vulnerabilidades como estrategia de mitigación, de esta manera, los estafadores no podrían aprovecharse de ellas.
Asimismo, aboga por medidas de seguridad más proactivas, como actualizaciones periódicas de paquetes de seguridad para contrarrestar estas amenazas.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
