l+f: GPT-4 liest Beschreibungen von Sicherheitslücken und nutzt sie aus
Auf Basis öffentlich einsehbarer Informationen kann das Sprachmodell GPT-4 autark Software-Schwachstellen ausnutzen.
(Bild: LuckyStep/Shutterstock.com)
Sicherheitsforscher haben unter anderem das große Sprachmodell (Large Language Model, LLM) GPT-4 mit Beschreibungen aus Sicherheitswarnungen gefüttert. Im Anschluss konnte es im Großteil der Fälle die beschriebenen Sicherheitslücken erfolgreich ausnutzen.
Hohe Erfolgsquote
In ihrem Paper geben die Forscher an, LLMs mit Informationen zu Sicherheitslücken gefüttert zu haben. Solche Details sind öffentlich in sogenannten CVE-Beschreibungen verfügbar. Sie sind dafür da, dass Admins und Sicherheitsforscher ein besseres Verständnis für bestimmte Attacken bekommen, um Systeme effektiv abzusichern.
Die Forscher geben an, dass GPT-4 in 87 Prozent der Fälle die Lücken erfolgreich attackiert hat. Bei anderen LLMs wie GPT-3.5 lag die Erfolgsquote bei 0 Prozent. Ohne die Informationen aus einer CVE-Beschreibung soll GPT-4 immerhin noch in 7 Prozent der Fälle erfolgreich gewesen sein.
Das ist ein weiterer Schritt in Richtung von automatisierten Cyberattacken. Schon in der jüngsten Vergangenheit ließen Sicherheitsforscher GPT-3 überzeugende Phishingmails schreiben.
lost+found
Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security.
Alle l+f Meldungen in der Übersicht
(des)
