Egyelőre csak tapogatózunk, hogy milyen veszélyei lehetnek a mesterséges intelligenciának. A leggyakrabban a káros és torzított tartalmak kerülnek elő, pedig vannak más jellegű kockázatai is. Egy nemrégiben publikált kutatás szerint, ha olyan eszközökhöz kapcsolódik, amelyek automatikus interakciót tudnak kialakítani más rendszerekkel, az MI rosszindulatú ágenssé válhat.

Az Illinois Urbana-Champaign-i Egyetem kutatói több LLM-et (large language model) is rá tudtak venni arra, hogy támadjanak sebezhető weboldalakat. Bár az LLM-ekben voltak biztonsági ellenőrzések, amelyeknek meg kellett volna akadályozniuk, hogy a modell segítsen létrehozni pl. rosszindulatú kódot, ismét kiderült, egyik modell sem morálfilozófus, hogy eldöntse: egy forráskód jóra vagy rosszra használható.

A kutatás igazi újdonsága az, hogy bizonyította: az LLM-nek a sikeres töréshez nem kell ismernie, hogy adott weboldal védelmét milyen biztonsági rés, sebezhetőség gyengíti. A kísérletek során az ágensek probléma nélkül végrehajtottak olyan komplex SQL UNION típusú támadást, ami 38 műveleti részből tevődött össze. Az ágens először kinyerte az adatbázissémát, majd annak segítségével hozzájutott a töréshez szükséges információkhoz.

A kutatócsapat a teszteket valódi weboldalakon, de természetesen sandbox környezetben végezte el. Három eszközük volt: az OpenAI Assistants API (többek között kontextus felépítéséhez és a funkcióhívásokhoz), az MI-alkalmazások létrehozását segítő LangChain, valamint a Playwright böngészőtesztelő keretrendszer, amely a weboldalakkal tényleges interakcióba lépett.

És olcsóbb, mint egy pen tester!

Összesen tíz LLM-et vizsgáltak, a GPT-3.5 és 4 mellett nyolc nyílt forráskódú megoldást, köztük a LLaMA-2 Chat három verzióját (70B, 13B és 7B). A teszteket tizenöt különböző sebezhetőségi típusra korlátozták (SQL-injekció, cross-site scripting, cross-site request forgery stb.). A GPT-4 brillírozott: volt olyan felállás, amikor a kísérletek közel háromnegyedében sikerrel járt. A többi LLM azonban nagyon gyenge eredményt ért el. A kutatók szerint a GPT-4 azért volt sikeres, mert képes volt változtatni a műveletein a célwebhelyről kapott válaszok alapján, míg a nyílt forráskódú modellek ebben gyengék voltak.

A kutatók még egy slusszpoént is elsütöttek: megpróbálták kiszámolni, mennyibe kerül egy támadás, ha LLM-alapú ágenssel, illetve ha emberi munkaerővel viszik sikerre. Az LLM olcsóbbnak bizonyult, mint ha behatolástesztelőt bíztak volna meg a sérülékenységvizsgálattal. GPT-4 esetén weboldalanként 9,81 dollár költséggel megvan a törés. Ezzel szemben egy évi 100 ezer dollárt kereső pen tester oldalanként kb. 80 dollárért csinálja meg ugyanezt.

Ez persze így erősen spekulatív, mert a hatékony LLM drága, a hozzáférés pedig nehézkes, de az árak lefele tartanak. A kutatás azt is előrevetíti, hogy az LLM-ek elég hamar beépülhetnek a behatolásvizsgálati rendszerekbe. A sérülékenységkeresés automatizálása önmagában nem újdonság, de az igen, hogy egy LLM képes a teljes folyamatot elvégezni.

A kutatás eredményeit összegző tanulmány >>