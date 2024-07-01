Desde el uso generalizado y creciente de ChatGPT y otros modelos de lenguaje de gran tamaño (LLM) en los últimos años, la ciberseguridad ha sido una de las principales preocupaciones. Entre las muchas preguntas, los profesionales de la ciberseguridad se preguntaron cuán efectivas eran estas herramientas para lanzar un ataque. Los investigadores de ciberseguridad Richard Fang, Rohan Bindu, Akul Gupta y Daniel Kang realizaron recientemente un estudio para determinar la respuesta. La conclusión: son muy eficaces.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Durante el estudio, el equipo utilizó 15 vulnerabilidades de un día que ocurrieron en la vida real. Las vulnerabilidades de un día se refieren al tiempo entre que se descubre un problema y se crea el parche, es decir, es una vulnerabilidad conocida. Los casos incluyeron sitios web con vulnerabilidades, software de gestión de contenedores y paquetes de Python. Dado que todas las vulnerabilidades procedían de la base de datos de CVE, incluían la descripción de CVE.
Los agentes de LLM también tenían elementos de navegación web, una terminal, resultados de búsqueda, creación de archivos y un intérprete de código. Además, los investigadores utilizaron una instrucción muy detallada con un total de 1056 tokens y 91 líneas de código. La instrucción también incluía declaraciones de depuración y registro. Sin embargo, las instrucciones no incluían subagentes ni un módulo de planeación separado.
El equipo aprendió rápidamente que ChatGPT podía explotar correctamente las vulnerabilidades de un día el 87 % de las veces. Todos los demás métodos probados, que incluyeron LLM y escáneres de vulnerabilidades de código abierto, no pudieron explotar ninguna vulnerabilidad. GPT-3.5 tampoco logró detectar vulnerabilidades. Según el informe, GPT-4 solo falló en dos vulnerabilidades, las cuales son muy difíciles de detectar.
“La aplicación web Iris es extremadamente difícil de navegar para un agente de LLM, ya que la navegación se realiza a través de JavaScript. Como resultado, el agente intenta acceder a formularios/botones sin interactuar con los elementos necesarios para que esté disponible, lo que le impide hacerlo. La descripción detallada de HertzBeat está en chino, lo que puede confundir al agente GPT-4 que desplegamos, ya que usamos el inglés para las instrucciones”, explicaron los autores del informe.
Los investigadores concluyeron que la razón de la alta tasa de éxito radica en la capacidad de la herramienta para explotar vulnerabilidades complejas de múltiples pasos, lanzar diferentes métodos de ataque, crear códigos para explotar y manipular vulnerabilidades ajenas a la web.
El estudio también encontró una limitación significativa con Chat GPT para encontrar vulnerabilidades. Cuando se le pidió que explotara una vulnerabilidad sin el código CVE, el LLM no pudo funcionar al mismo nivel. Sin el código CVE, GPT-4 solo tuvo éxito el 7 % de las veces, lo que representa una disminución del 80 %. Debido a esta gran brecha, los investigadores dieron un paso atrás y aislaron la frecuencia con la que GPT-4 podía determinar la vulnerabilidad correcta, que era el 33.3 % de las veces.
"Sorprendentemente, descubrimos que el número promedio de acciones realizadas con y sin la descripción de CVE difería solo en un 14 % (24.3 acciones frente a 21.3 acciones). Sospechamos que esto se debe en parte a la longitud de la ventana de contexto, lo que sugiere además que un mecanismo de planificación y subagentes podrían aumentar el rendimiento”, escribieron los investigadores.
Los investigadores concluyeron que su estudio demostraba que los LLM tienen la capacidad de explotar de forma autónoma vulnerabilidades de un día, pero que actualmente solo GPT-4 puede alcanzar este objetivo. Sin embargo, la preocupación es que la capacidad y la funcionalidad del LLM solo crecerán en el futuro, lo que lo convertirá en una herramienta aún más destructiva y poderosa para los delincuentes cibernéticos.
"Nuestros resultados muestran tanto la posibilidad de una capacidad emergente como que descubrir una vulnerabilidad es más difícil que explotarla. No obstante, nuestros hallazgos destacan la necesidad de que la comunidad de ciberseguridad en general y los proveedores de LLM piensen detenidamente sobre cómo integrar los agentes de LLM en medidas defensivas y sobre su despliegue generalizado”, concluyen los investigadores.
Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Vea por qué IBM ha sido nombrado actor principal y obtenga insights para seleccionar el proveedor de servicios de consultoría de ciberseguridad que mejor se adapte a las necesidades de su organización.
Descubra cómo está cambiando el panorama de seguridad actual y cómo afrontar los desafíos y aprovechar la resiliencia de la IA generativa.
Conozca las amenazas más recientes y fortalezca sus defensas en la nube con el informe IBM® X-Force sobre el escenario de amenazas en la nube.
Descubra cómo la seguridad de datos ayuda a proteger la información digital del acceso no autorizado, la corrupción o el robo a lo largo de todo su ciclo de vida.
Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.
Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.
Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.
Ya sea que necesite una solución de seguridad de datos, gestión de endpoints o gestión de identidad y acceso (IAM), nuestros expertos están listos para trabajar con usted para lograr una postura de seguridad sólida. Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.