l+f: GPT-4 liest Beschreibungen von Sicherheitslücken und nutzt sie aus
Auf Basis öffentlich einsehbarer Informationen kann das Sprachmodell GPT-4 autark Software-Schwachstellen ausnutzen.
Sicherheitsforscher haben unter anderem das große Sprachmodell (Large Language Model, LLM) GPT-4 mit Beschreibungen aus Sicherheitswarnungen gefüttert. Im Anschluss konnte es im Großteil der Fälle die beschriebenen Sicherheitslücken erfolgreich ausnutzen.
Hohe Erfolgsquote
In ihrem Paper geben die Forscher an [1], LLMs mit Informationen zu Sicherheitslücken gefüttert zu haben. Solche Details sind öffentlich in sogenannten CVE-Beschreibungen verfügbar. Sie sind dafür da, dass Admins und Sicherheitsforscher ein besseres Verständnis für bestimmte Attacken bekommen, um Systeme effektiv abzusichern.
Die Forscher geben an, dass GPT-4 in 87 Prozent der Fälle die Lücken erfolgreich attackiert hat. Bei anderen LLMs wie GPT-3.5 lag die Erfolgsquote bei 0 Prozent. Ohne die Informationen aus einer CVE-Beschreibung soll GPT-4 immerhin noch in 7 Prozent der Fälle erfolgreich gewesen sein.
Das ist ein weiterer Schritt in Richtung von automatisierten Cyberattacken. Schon in der jüngsten Vergangenheit ließen Sicherheitsforscher GPT-3 überzeugende Phishingmails schreiben [2].
lost+found [3]
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht [4]
(des [5])
URL dieses Artikels:
https://www.heise.de/-9690533
Links in diesem Artikel:
[1] https://arxiv.org/abs/2404.08144
[2] https://www.heise.de/news/Sicherheitsforscher-lassen-KI-GPT-3-ueberzeugende-Phishing-Mails-schreiben-7461383.html
[3] https://www.heise.de/thema/lost%2Bfound
[4] https://www.heise.de/thema/lost%2Bfound
[5] mailto:des@heise.de
Copyright © 2024 Heise Medien