Les agents d’IA, qui combinent de grands modèles de langage avec des logiciels d’automatisation, peuvent exploiter avec succès les vulnérabilités de sécurité du monde réel en lisant les avis de sécurité, ont affirmé des universitaires. Dans un article récemment publié, quatre informaticiens de l’Université de l’Illinois à Urbana-Champaign (UIUC) – Richard Fang, Rohan Bindu, Akul Gupta et Daniel Kang – rapportent que le grand modèle de langage (LLM) GPT-4 d’OpenAI peut exploiter de manière autonome les vulnérabilités dans les systèmes du monde réel s’il est donné un avis CVE décrivant la faille. « Pour le montrer, nous avons collecté un ensemble de données de 15 vulnérabilités d’une journée incluant celles classées comme de gravité critique dans la description CVE », expliquent les auteurs basés aux États-Unis dans leur article. « Lorsqu’on lui donne la description CVE, GPT-4 est capable d’exploiter 87 % de ces vulnérabilités, contre 0 % pour tous les autres modèles testés (GPT-3.5, LLM open-source) et les scanners de vulnérabilités open-source (ZAP et Metasploit). » Si on extrapole ce que les futurs modèles pourront faire, il semble probable qu’ils seront beaucoup plus capables que ce à quoi les jeunes pirates peuvent accéder aujourd’hui.
Menu
