Rejoignez-nous
Divers

ChatGPT Plus peut exploiter des vulnérabilités de sécurité du jour zéro : pourquoi cela devrait vous inquiéter

Pierre

Date de publication :

Publié il y a 7 mois

le

ChatGPT Plus peut exploiter des vulnérabilités de sécurité du jour zéro : pourquoi cela devrait vous inquiéter

La cybercriminalité sera bientôt l’affaire du peuple.

GPT-4, le dernier modèle de langage multimodal (LLM) d'OpenAI, peut exploiter les vulnérabilités du jour zéro de manière indépendante, selon une étude rapportée par TechSpot.

L'étude menée par des chercheurs d'Urbana-Champaign de l'Université de l'Illinois a montré que les LLM, y compris GPT-4, peuvent exécuter des attaques sur les systèmes en utilisant des vulnérabilités non divulguées, connues sous le nom de failles zero-day. Dans le cadre du service ChatGPT Plus, GPT-4 a démontré des progrès significatifs par rapport à ses prédécesseurs en termes de pénétration de la sécurité sans intervention humaine.

L'étude impliquait de tester les LLM sur un ensemble de 15 vulnérabilités « élevées à graves » provenant de divers domaines, tels que les services Web et les packages Python, pour lesquels il n'existait aucun correctif à l'époque.

GPT-4 a fait preuve d'une efficacité surprenante en exploitant avec succès 87 % de ces vulnérabilités, contre un taux de réussite de zéro % pour les modèles précédents comme GPT-3.5. Les résultats suggèrent que GPT-4 peut identifier et exploiter de manière autonome les vulnérabilités que les scanners de vulnérabilités open source traditionnels négligent souvent.

Pourquoi c'est préoccupant

Les implications de telles capacités sont importantes, avec le potentiel de démocratiser les outils de cybercriminalité, les rendant accessibles à des individus moins qualifiés connus sous le nom de « script-kiddies ». Le professeur adjoint de l'UIUC, Daniel Kang, a souligné les risques posés par des LLM aussi puissants, qui pourraient conduire à une augmentation des cyberattaques si des rapports de vulnérabilité détaillés restent accessibles.

Kang préconise de limiter les divulgations détaillées des vulnérabilités et suggère des mesures de sécurité plus proactives telles que des mises à jour régulières. Cependant, son étude a également souligné l’efficacité limitée de la rétention d’informations en tant que stratégie de défense. Kang a souligné la nécessité d'approches de sécurité robustes pour relever les défis introduits par les technologies avancées d'IA telles que GPT-4.

Pierre

Pierre, plus connu sous son pseudonyme "Pierrot le Fou", est un rédacteur emblématique du site Indigo Buzz. Originaire d'une petite ville du sud-ouest du Gers, cet aventurier des temps modernes est né sous le signe de l'ombre en 1986 au sommet d'une tour esotérique. Élevé dans une famille de magiciens-discount, il a développé un goût prononcé pour l'excentricité et la magie des mots dès son plus jeune âge. Pierre a commencé sa carrière de rédacteur dans un fanzine local dédié aux films d'horreur des années 80, tout en poursuivant des études de communication à l'Université de Toulouse. Passionné par l'univers du web, il a rapidement pris conscience de l'impact du numérique et des réseaux sociaux sur notre société. C'est alors qu'il a décidé de troquer sa collection de cassettes VHS contre un ordinateur flambant neuf... enfin presque.