हाल के वर्षों में चैटजीपीटी और अन्य बड़े भाषा मॉडल (एलएलएम) के व्यापक और बढ़ते उपयोग के बाद से, साइबर सुरक्षा एक प्रमुख चिंता का विषय बन गई है। कई सवालों के बीच, साइबर सुरक्षा पेशेवरों ने सोचा है कि हमले शुरू करने में ये उपकरण कितने प्रभावी हैं। साइबर सुरक्षा शोधकर्ता रिचर्ड फैंग, रोहन बिंदू, अकुल गुप्ता और डैनियल कांग हाल ही में एक अध्ययन किया उत्तर निर्धारित करने के लिए. निष्कर्ष: वे बहुत प्रभावी हैं.
चैटजीपीटी 4 दिन-पुरानी कमजोरियों का तेजी से फायदा उठाता है
अध्ययन के दौरान, टीम ने वास्तविक जीवन में होने वाली 15 एकल-दिवसीय कमजोरियों का उपयोग किया। एक दिवसीय भेद्यताएँ किसी समस्या की खोज करने और पैच बनाने के बीच के समय को संदर्भित करती हैं, जिसका अर्थ है कि यह एक ज्ञात भेद्यता है। इन मामलों में कमजोरियों वाली वेबसाइटें, कंटेनर प्रबंधन सॉफ्टवेयर और पायथन पैकेज शामिल हैं। चूंकि सभी कमजोरियां सीवीई डेटाबेस से आईं, इसलिए उनमें सीवीई विवरण शामिल था।
मास्टर ऑफ लॉ (एलएलएम) एजेंटों के पास वेब ब्राउज़िंग, एक टर्मिनल, खोज परिणाम, फ़ाइल निर्माण और एक कोड दुभाषिया भी था। इसके अतिरिक्त, शोधकर्ताओं ने कुल 1,056 टोकन और कोड की 91 पंक्तियों के साथ एक बहुत विस्तृत संकेत का उपयोग किया। प्रॉम्प्ट में डिबगिंग और लॉगिंग निर्देश भी शामिल थे। हालाँकि, संकेतों में उप-एजेंट या एक अलग शेड्यूलिंग मॉड्यूल शामिल नहीं था।
टीम ने तुरंत पाया कि चैटजीपीटी 87% समय पुरानी कमजोरियों का सफलतापूर्वक फायदा उठाने में सक्षम था। एलएलएम और ओपन सोर्स भेद्यता स्कैनर सहित परीक्षण की गई अन्य सभी विधियाँ, किसी भी भेद्यता का फायदा उठाने में विफल रहीं। GPT-3.5 भी कमजोरियों का पता लगाने में विफल रहा। रिपोर्ट के अनुसार, GPT-4 केवल दो कमजोरियों पर विफल रहा, जिनमें से दोनों का पता लगाना बहुत मुश्किल था।
“एलएलएम एजेंट के लिए आईरिस वेब एप्लिकेशन को नेविगेट करना बेहद कठिन है क्योंकि नेविगेशन जावास्क्रिप्ट के माध्यम से किया जाता है। इसलिए, एजेंट फॉर्म/बटन को उपलब्ध कराने के लिए आवश्यक तत्वों के साथ बातचीत किए बिना उन तक पहुंचने का प्रयास करता है, जिससे उसे ऐसा करने से रोका जा सके। हर्ट्ज़बीट का विस्तृत विवरण चीनी भाषा में है, जो हमारे द्वारा तैनात किए गए GPT-4 एजेंट को बाधित कर सकता है क्योंकि हम संकेत के लिए अंग्रेजी का उपयोग करते हैं, ”रिपोर्ट के लेखक बताते हैं।
एआई-संचालित साइबर सुरक्षा समाधान खोजें
ChatGPT की सफलता दर अभी भी CVE कोड द्वारा सीमित है
शोधकर्ताओं ने निष्कर्ष निकाला कि उच्च सफलता दर का कारण कई चरणों में जटिल कमजोरियों का फायदा उठाने, विभिन्न हमले के तरीकों को लॉन्च करने, शोषण के लिए कोड बनाने और असंबंधित वेब में हेरफेर करने की उपकरण की क्षमता में निहित है।
अध्ययन में भेद्यता स्कैनिंग के लिए चैट जीपीटी की एक महत्वपूर्ण सीमा का भी पता चला। जब सीवीई कोड के बिना भेद्यता का फायदा उठाने के लिए कहा गया, तो एलएलएम उसी स्तर पर प्रदर्शन करने में सक्षम नहीं था। सीवीई कोड के बिना, जीपीटी-4 केवल 7% बार सफल रहा, जो कि 80% की कमी है। इस महत्वपूर्ण विसंगति के कारण, शोधकर्ताओं ने एक कदम पीछे लिया और अलग किया कि कितनी बार GPT4 सही भेद्यता निर्धारित कर सकता है, जो उस समय 33.3% था।
“आश्चर्यजनक रूप से, हमने पाया कि सीवीई विवरण के साथ और उसके बिना किए गए कार्यों की औसत संख्या में केवल 14% (24.3 क्रियाएं बनाम 21.3 क्रियाएं) का अंतर था। हमारा मानना है कि यह आंशिक रूप से पॉप-अप विंडो की लंबाई के कारण है, जो आगे सुझाव देता है कि एक शेड्यूलिंग तंत्र और सबएजेंट प्रदर्शन बढ़ा सकते हैं, ”शोधकर्ताओं ने लिखा।
भविष्य की कमजोरियों में एक दिन पर एलएलएम का प्रभाव
शोधकर्ताओं ने निष्कर्ष निकाला कि उनके अध्ययन से पता चला है कि एलएलएम में एक दिन की कमजोरियों का स्वायत्त रूप से फायदा उठाने की क्षमता है, लेकिन वर्तमान में केवल जीपीटी -4 ही इस लक्ष्य को प्राप्त कर सकता है। हालाँकि, ऐसी चिंताएँ हैं कि भविष्य में एलएलएम की क्षमता और कार्यक्षमता बढ़ेगी, जिससे यह साइबर अपराधियों के लिए और भी अधिक विनाशकारी और शक्तिशाली उपकरण बन जाएगा।
“हमारे परिणाम एक उभरती क्षमता की संभावना और इस तथ्य को दर्शाते हैं कि इसका दोहन करने की तुलना में किसी भेद्यता की खोज करना अधिक कठिन है। फिर भी, हमारे निष्कर्ष व्यापक साइबर सुरक्षा समुदाय और एलएलएम प्रदाताओं के लिए सावधानी से सोचने की आवश्यकता पर प्रकाश डालते हैं कि एलएलएम एजेंटों को रक्षात्मक उपायों में कैसे एकीकृत किया जाए और उन्हें बड़े पैमाने पर कैसे तैनात किया जाए, ”शोधकर्ताओं ने निष्कर्ष निकाला।
