Forscher alarmiert: GPT-4 liest CVEs und entwickelt erfolgreiche Exploits
Die Einführung des KI-Modells GPT-4 kann sich noch zu einem echten Problem entwickeln. Denn bei Experimenten zeigte sich, dass die Technologie allein durch das Lesen von Security-Advisories passende Exploits für Sicherheitslücken entwickeln kann.
Das zeigt, welchen enormen Sprung OpenAI mit seinem letzten großen Update gemacht hat. Doch nicht nur das. Die Informatiker verweisen darauf, dass ihr Experiment letztlich auch nur einen Eindruck davon vermitteln kann, was von den kommenden Versionen der großen KI-Modelle zu erwarten sein wird.
Getestet wurde GPT-4 hier mit sogenannten Eintages-Schwachstellen. Dabei handelt es sich um Sicherheitslücken, über die bereits Informationen veröffentlicht wurden, für die es aber bisher noch keinen Patch gibt.
GPT-4 ist zumindest bislang nicht in der Lage, den Code von bestehenden Anwendungen eigenständig nach Sicherheitslücken zu durchsuchen und diese auszunutzen. Sobald die KI keinen Zugang zum CVE-Dokument hat, blieb der Erfolg aus. Die Sicherheitsforscher sehen es aber nicht als sinnvolle Strategie an, der KI den Zugang zu solchen Informationen einfach zu verwehren und dann zu glauben, dass Kriminelle ihre Arbeit an Malware nicht mit Sprachmodellen automatisieren könnten. Vielmehr sei es mit fortschreitenden KI-Fähigkeiten umso drängender, dass alle Software-Anbieter Patches schnell und sicher verteilt bekommen.
Siehe auch:
Erstes erfolgreiches Modell
Informatiker der University of Illinois haben das aktuelle Sprachmodell des Entwicklers OpenAI in dieser Hinsicht unter die Lupe genommen. Und das mit Erfolg. "Wenn die CVE-Beschreibung vorliegt, ist GPT-4 in der Lage, 87 Prozent der Schwachstellen auszunutzen", erklärten die Forscher in einem jetzt publizierten Paper. Bei früheren Versionen oder alternativen Sprachmodellen habe die Erfolgsquote noch bei 0 Prozent gelegen.Das zeigt, welchen enormen Sprung OpenAI mit seinem letzten großen Update gemacht hat. Doch nicht nur das. Die Informatiker verweisen darauf, dass ihr Experiment letztlich auch nur einen Eindruck davon vermitteln kann, was von den kommenden Versionen der großen KI-Modelle zu erwarten sein wird.
Getestet wurde GPT-4 hier mit sogenannten Eintages-Schwachstellen. Dabei handelt es sich um Sicherheitslücken, über die bereits Informationen veröffentlicht wurden, für die es aber bisher noch keinen Patch gibt.
Top-Tool für Kriminelle
Erfolglos getestet wurden den Angaben zufolge die KI-Modelle GPT-3.5, OpenHermes-2.5-Mistral-7B, Llama-2 Chat (70B), LLaMA-2 Chat (13B), LLaMA-2 Chat (7B), Mixtral-8x7B Instruct, Mistral (7B) Instruct v0. 2, N-H-2 Yi 34B und OpenChat 3.5. Die kommerziellen Konkurrenten von GPT-4, Anthropic's Claude 3 und Google's Gemini 1.5 Pro, wurden nicht berücksichtigt, weil die Forscher während des Testzeitraums noch keinen Zugang zu diesen hatten. Sobald sich das ändert, will man die Versuche aber nachholen.GPT-4 ist zumindest bislang nicht in der Lage, den Code von bestehenden Anwendungen eigenständig nach Sicherheitslücken zu durchsuchen und diese auszunutzen. Sobald die KI keinen Zugang zum CVE-Dokument hat, blieb der Erfolg aus. Die Sicherheitsforscher sehen es aber nicht als sinnvolle Strategie an, der KI den Zugang zu solchen Informationen einfach zu verwehren und dann zu glauben, dass Kriminelle ihre Arbeit an Malware nicht mit Sprachmodellen automatisieren könnten. Vielmehr sei es mit fortschreitenden KI-Fähigkeiten umso drängender, dass alle Software-Anbieter Patches schnell und sicher verteilt bekommen.
Zusammenfassung
- GPT-4 kann 87% der Schwachstellen ausnutzen, wenn CVE-Beschreibungen vorliegen
- Forscher der University of Illinois haben die Fähigkeiten von GPT-4 untersucht
- Frühere Modelle und andere Sprachmodelle erreichten 0% Erfolgsquote bei Tests
- Experimente zeigen potenzielle Risiken und Fähigkeiten zukünftiger KI-Versionen
- GPT-4 wurde speziell mit Eintages-Schwachstellen getestet
- Ohne Zugang zu CVE-Dokumenten kann GPT-4 keine Sicherheitslücken ausnutzen
- Wichtigkeit schneller und sicherer Patch-Verteilung durch Software-Anbieter betont
Siehe auch:
Thema:
Videos zum Thema OpenAI
-
Super Bowl 2026: OpenAI lässt uns mit Codex Neues erschaffen
-
Anthropic Claude macht sich über Werbung in ChatGPT lustig
-
Super Bowl 2025: OpenAI heißt uns im KI-Zeitalter willkommen
-
Microsoft stellt das neue Bing und vieles mehr für Windows 11 vor
HIGHLIGHT
-
Bing mit ChatGPT: Microsoft stellt seinen "Kopilot fürs Netz" vor
Beliebte OpenAI-Downloads
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen