Les agents d’IA, qui combinent de grands modèles linguistiques avec des logiciels d’automatisation, peuvent exploiter avec succès les vulnérabilités de sécurité du monde réel en lisant des avis de sécurité, ont affirmé des universitaires. Dans un article récemment publié, quatre informaticiens de l’Université de l’Illinois à Urbana-Champaign (UIUC) – Richard Fang, Rohan Bindu, Akul Gupta et Daniel Kang – rapportent que le grand modèle linguistique (LLM) GPT-4 d’OpenAI peut exploiter de manière autonome les vulnérabilités des systèmes du monde réel s’il lui est donné un avis CVE décrivant la faille. « Pour le démontrer, nous avons constitué un ensemble de données de 15 vulnérabilités d’une journée incluant celles catégorisées comme gravité critique dans la description CVE », expliquent les auteurs basés aux États-Unis dans leur article. « Lorsqu’on lui donne la description CVE, GPT-4 est capable d’exploiter 87% de ces vulnérabilités par rapport à 0% pour chaque autre modèle que nous testons (GPT-3.5, LLM open-source) et les scanners de vulnérabilités open-source (ZAP et Metasploit). » Si l’on extrapole ce que les futurs modèles pourront faire, il semble probable qu’ils seront beaucoup plus capables que ce à quoi les script kiddies peuvent accéder aujourd’hui.
Menu
