OpenAI’nin GPT-4 modeli, siber güvenlik açıklarından başarıyla yararlanıyor; sürekli olarak profesyonellerden daha iyi ve daha hızlı. Akademisyenler bu becerinin yapay zeka modelinin kaptan köşküne yeni eklenen bir özellik olduğunu ancak zamanla daha iyi hale geleceğini iddia ediyor.
Illinois Urbana-Champaign Üniversitesi’ndeki (UIUC) araştırmacılar yakın zamanda yayınladı Kağıt güvenlik açıklarına saldırma alanında birkaç büyük dil modelini (LLM) birbirleriyle karşılaştırdıkları bu kullanım örneği üzerinde. GPT-4, ortak güvenlik sorunlarının genel veritabanı olan CVE’deki istismarın açıklaması verildiğinde test edilen güvenlik açıklarının %87’sine başarılı bir şekilde saldırmayı başardı. Test edilen diğer tüm dil modelleri (GPT-3.5, OpenHermes-2.5-Mistral-7B, Llama-2 Chat (70B), vb.) ve amaca yönelik olarak oluşturulmuş güvenlik açığı tarayıcıları, sağlanan güvenlik açıklarından bir kez bile başarıyla yararlanma konusunda başarısız oldu.
LLM’lere, test etmeleri için “bir günlük” güvenlik açıkları (keşfedildikten sonraki gün yama gerektirecek kadar tehlikeli oldukları için bu adı verildi) verildi. Siber güvenlik uzmanları ve istismar avcıları, tüm kariyerlerini bir günlük güvenlik açıklarını bulma (ve düzeltme) üzerine inşa ettiler; Beyaz şapkalı hackerlar olarak adlandırılan hackerlar, istismar edilecek güvenlik açıklarını arayan kötü niyetli ajanları geride bırakmak amacıyla şirketler tarafından penetrasyon testçileri olarak işe alınır.
İnsanlık adına şans eseri, GPT-4 yalnızca bilinen güvenlik açıklarına saldırabiliyordu (CVE tanımı ona verilmişti) LLM, iş bir hatayı tespit edip ondan yararlanmaya geldiğinde yalnızca %7’lik bir başarı oranına sahipti. Başka bir deyişle, hacklemenin kıyamet gününün anahtarı, ChatGPT için iyi bir istem yazabilen hiç kimse için (henüz) mevcut değil. Bununla birlikte, GPT-4, yalnızca teorideki güvenlik açıklarını anlamakla kalmayıp, aynı zamanda bir otomasyon çerçevesi aracılığıyla açıklardan yararlanma adımlarını özerk bir şekilde gerçekleştirme adımlarını fiilen gerçekleştirebilmesi nedeniyle hala benzersiz bir şekilde endişe vericidir.
Ve ne yazık ki insanlık açısından GPT-4, sömürü yarışında zaten insanlardan daha iyi durumda. Bir siber güvenlik uzmanına saat başına 50 dolar ödendiğini varsayan makale, “bir Yüksek Lisans temsilcisi kullanmanın [to exploit security vulnerabilities] zaten insan emeğinden 2,8 kat daha ucuz. Yüksek Lisans temsilcileri aynı zamanda insan emeğinin aksine önemsiz derecede ölçeklenebilir.” Makale ayrıca gelecekteki GPT-5 gibi gelecekteki Yüksek Lisans’ların yalnızca bu yetenekler ve belki de keşif becerileri açısından daha da güçleneceğini tahmin ediyor. Spectre ve Meltdown gibi güvenlik açıklarının hâlâ teknoloji dünyasının zihninde belirmeye devam etmesi, bu ciddi bir düşünce.
Yapay zekayla oynanmaya devam edildikçe dünya geri dönülemez biçimde değişmeye devam edecek. OpenAI özellikle makalenin yazarlarından bu deney için kullandıkları istemleri kamuya açıklamamalarını istedi; yazarlar da bunu kabul etti ve istemleri yalnızca “talep üzerine” sunacaklarını söylediler.
Bunu (veya herhangi bir şeyi) ChatGPT’de kendiniz kopyalamaya çalışırken dikkatli olun, çünkü AI sorguları çevreye büyük ölçüde zarar verir: tek bir ChatGPT isteği, etkin bir Google aramasından neredeyse 10 kat daha fazla maliyete sahiptir. Bu enerji farklılığından memnunsanız ve Yüksek Lisans’larla kendiniz çalışmak istiyorsanız, meraklıların NAS’larında AI sohbet robotlarını nasıl çalıştırdıklarını burada bulabilirsiniz.
