Недавние академические исследования пролили свет на некоторые убедительные, хотя и тревожные, возможности передовых моделей искусственного интеллекта, в частности GPT-4 от OpenAI, в области программирования и кибербезопасности.
Это исследование, проведенное группой из американского университета, подчеркивает потенциал таких инструментов искусственного интеллекта как для защиты от кибербезопасности, так и, наоборот, для облегчения кибератак.
Возможности ИИ в использовании уязвимостей
Целью исследования была оценка того, насколько эффективно различные модели искусственного интеллекта, включая GPT-4, могут использовать общедоступные данные безопасности для использования уязвимостей программного обеспечения. Исследователи использовали набор данных из 15 уязвимостей из реестра Common Vulnerabilities and Exposures (CVE) — финансируемой государством базы данных, в которой перечислены известные угрозы безопасности в компонентах программного обеспечения.
Примечательно, что GPT-4 смог использовать 87% этих уязвимостей, что резко контрастирует с уровнем использования 0% в более ранних версиях, таких как GPT-3.5, других больших языковых моделях (LLM) и популярных сканерах уязвимостей с открытым исходным кодом, таких как ZAP. и Метасплоит. Эта эффективность не только демонстрирует глубокое понимание сложных наборов данных GPT-4, но и его потенциальную полезность в реальных приложениях кибербезопасности.
Этические последствия и последствия для безопасности
Эта возможность, хотя и впечатляет, также порождает множество проблем этического характера и безопасности. Доступность списка CVE, хотя и необходима для прозрачности и повышения кибербезопасности по всем направлениям, также означает, что системы искусственного интеллекта, такие как GPT-4, могут получить доступ к этим данным, чтобы потенциально способствовать вредоносным действиям. Исследование выдвигает на первый план критический вопрос: как мы можем сбалансировать открытость, необходимую для совместной безопасности, с необходимостью смягчить потенциальное неправомерное использование той же информации системами искусственного интеллекта?
Экономичная кибербезопасность или инструмент киберпреступности?
Еще одним важным выводом исследования является экономическая эффективность использования ИИ, такого как GPT-4, для задач кибербезопасности. По оценкам исследования, использование GPT-4 для проведения успешной кибератаки может стоить всего 8.80 долларов США, что примерно в 2.8 раза дешевле, чем наем специалиста по кибербезопасности для выполнения той же задачи. Такая экономическая эффективность может революционизировать стратегии кибербезопасности, сделав передовые механизмы защиты более доступными для организаций. Однако это также создает риск столь же дешевых кибератак, потенциально увеличивая частоту и сложность этих угроз.
Будущие направления и рекомендации
Исследование не предполагает ограничения доступа к списку CVE, поскольку преимущества открытого доступа перевешивают потенциальные риски. Вместо этого он требует более тонкого подхода к использованию высококвалифицированных специалистов LLM в таких чувствительных областях, как кибербезопасность. Это включает в себя потенциальные меры регулирования, усиленный мониторинг деятельности ИИ и текущие исследования в области безопасного и этичного использования ИИ.
Заключение
Результаты этого исследования дают глубокое понимание обоюдоострой природы ИИ в кибербезопасности. Хотя искусственный интеллект может значительно повысить нашу способность защищать цифровую инфраструктуру, он также требует тщательного управления для предотвращения его неправильного использования. По мере того, как ИИ продолжает развиваться, должны развиваться и наши стратегии по ответственному использованию его потенциала, гарантируя, что он будет служить инструментом защиты, а не оружием против нас.