Forscher haben gezeigt, dass GPT-4, ein großes Sprachmodell von OpenAI, 87% der bekannten Sicherheitslücken ausnutzen kann, wenn es nur die Beschreibungen der Schwachstellen liest.

KI gegen IT-Sicherheit: GPT-4 zeigt Zähne

In einer aktuellen Studie haben Sicherheitsforscher untersucht, wie gut moderne KI-Sprachmodelle geeignet sind, Schwachstellen in IT-Systemen auszunutzen. Die meisten getesteten Modelle zeigten dabei keine beeindruckenden Fähigkeiten. Doch OpenAIs GPT-4 stach deutlich hervor: Mit ihm gelang es den Forschern, 13 von 15 Sicherheitslücken erfolgreich zu attackieren.

„87 Prozent Trefferquote mit CVE-Beschreibungen“

„Mit der CVE-Beschreibung war GPT-4 in der Lage, 87 Prozent der Schwachstellen auszunutzen“, so die Forscher in ihrem Paper. Andere Sprachmodelle wie GPT-3.5, Open-Source-Modelle wie Llama 2 oder auch quelloffene Schwachstellen-Scanner wie Zap und Metasploit versagten hingegen komplett.

Echte Schwachstellen im Fokus

Für ihre Tests nutzten die Forscher 15 echte „One-Day-Schwachstellen“, also solche, für die bereits ein Patch verfügbar ist, der aber noch nicht auf allen Systemen eingespielt wurde. „Unsere Schwachstellen umfassen Website-Schwachstellen, Container-Schwachstellen und verwundbare Python-Pakete“, erklären die Forscher. Acht der Sicherheitslücken wurden als „hoch“ oder „kritisch“ eingestuft, elf wurden erst nach dem Stichtag (6. November 2023) veröffentlicht, an dem der Wissensstand von GPT-4 endet.

Zukunftsmodelle noch gefährlicher?

Die Forschungsergebnisse werfen besorgniserregende Fragen auf: Wie gefährlich könnten zukünftige Sprachmodelle wie GPT-5 werden? „Wenn man hochrechnet, was GPT-5 und künftige Modelle können, ist es wahrscheinlich, dass sie viel kompetenter sind als das, worauf Script-Kiddies heute Zugriff haben“, warnt Daniel Kang, einer der beteiligten Forscher, gegenüber The Register.

Sicherheit durch Updates, nicht durch Geheimhaltung

Trotz der beeindruckenden Fähigkeiten von GPT-4 plädiert Kang dafür, Sicherheitsinformationen weiterhin öffentlich zugänglich zu machen. Stattdessen sollten Unternehmen und Nutzer auf proaktive Sicherheitsmaßnahmen setzen, wie zum Beispiel das regelmäßige Einspielen von Sicherheitsupdates, um ihre Systeme zuverlässig vor Angriffen zu schützen.

Fazit

Die Studie zeigt eindrucksvoll, wie leistungsfähig moderne KI-Sprachmodelle geworden sind. Gleichzeitig verdeutlicht sie die Notwendigkeit, die IT-Sicherheit ernst zu nehmen und proaktiv gegen Bedrohungen vorzugehen.

Was meinen Sie? Wie können wir uns gegen KI-gestützte Cyberangriffe schützen? Welche Rolle spielen dabei die Veröffentlichung von Sicherheitsinformationen und die Verantwortung von Unternehmen und Nutzern? Teilen Sie Ihre Meinung in den Kommentaren!

https://arxiv.org/abs/2404.05459