Los resultados obtenidos por una nueva investigación académica alertan de los límites hasta los que puede llegar el modelo de IA en el campo de la programación y la seguridad informática.
Desde las primeras reviews realizadas a ChatGPT se viene diciendo que el modelo de lenguaje puede ayudar, (aunque no sin algunos fallos), a los programadores a revisar y corregir código. Esto dio pie a que algunos alertasen del potencial de esta tecnología para ser usada por hackers o cibercriminales, que podrían ayudarse de la misma para desarrollar malware o encontrar puntos débiles.
Estas ideas pasan ahora de ser sospechas a ser preocupaciones con fundamento. Un estudio publicado por una universidad estadounidense afirma que el modelo de inteligencia artificial GPT-4 de OpenAI es capaz de explotar vulnerabilidades en sistemas reales tan solo leyendo informes de seguridad que describan un fallo en un determinado servicio o plataforma.
Para desarrollar el experimento, el grupo de cuatro ingenieros de software de la UIUC recopiló «un conjunto de datos de 15 vulnerabilidades de un día que incluyen aquellas categorizadas como de gravedad crítica en la descripción de CVE».
La CVE es una lista llamada Common Vulnerabilities and Exposures. Se trata de un registro financiado por Estados Unidos que recoge de manera pública vulnerabilidades descubiertas en el código de algún software o servicio, con el objetivo de alertar a usuarios y equipos de desarrollo para que puedan tomar medidas al respecto.
De esta forma, cuando a ChatGPT se le proporciona el documento CVE, «GPT-4 es capaz de explotar el 87% de estas vulnerabilidades en comparación con el 0% de todos los demás modelos que probamos (GPT-3.5, LLM de código abierto) y escáneres de vulnerabilidades de código abierto (ZAP y Metasploit)», indica el estudio.
Las vulnerabilidades de un día de las que habla el estudio son aquellos riesgos potenciales que se han detectado en el código de un software, pero que aún no han sido corregidos. Por tanto, la puerta queda abierta para que alguien con el conocimiento necesario pueda explotar estas vulnerabilidades durante el tiempo que siga presente en la plataforma que sea.
Cortar el acceso de la IA a la lista de CVE impediría al modelo llevar a cabo estas tareas. Sin embargo, esta lista es accesible de manera pública y los expertos no consideran adecuado limitar el acceso a ella.
Supera a la mayoría de modelos de la competencia
Tal y como relatan los investigadores, la IA GPT-4 de OpenAI supera a todo el resto de LLMs (modelos grandes de lenguaje) en cuanto a generación de código malicioso. Las únicas dos inteligencias artificiales que no han entrado en el estudio son las también potentes Claude 3 de Anthropic y Gemini 1.5 Pro de Google. Los cuatro académicos no tuvieron acceso a las mismas, por lo que no han podido averiguar la precisión de estas dos IAs en esta tarea.
En declaraciones a medios, un profesor de la universidad de la que procede el estudio confirma que GPT-4 puede de hecho implementar por sí solo los pasos necesarios para explotar vulnerabilidades que otros escáneres de vulnerabilidades de código abierto no pueden encontrar.
No solo hablamos, por tanto, de una forma efectiva de localizar y aprovechar vulnerabilidades, sino de un método barato. Según el estudio, el precio de realizar un ataque exitoso con GPT-4 sería de 8.80 dólares, siendo por tanto alrededor de 2.8 veces más barato que contratar a un profesional en ciberseguridad humano para llevar a cabo la misma tarea en media hora.
«Nuestros hallazgos plantean preguntas sobre el despliegue generalizado de agentes LLM altamente capacitados», dice el estudio, que puede consultarse desde este enlace.
The post Un estudio confirma que a ChatGPT se le da bien hackear appeared first on ADSLZone.
