Un estudio demostró que los modelos de Inteligencia artificial como GPT son capaces de efectuar ciberataques de manera autónoma
Un grupo de investigadores que realizó pruebas con modelos de lenguaje grandes (LLM) demostró que los desarrollos de Inteligencia Artificial (IA) de este tipo, como GPT-4, son capaces de explotar vulnerabilidades de un día (one-day vulnerabilities), lo que representa una amenaza en materia de ciberseguridad.
Los riesgos asociados a las herramientas de IA generativa que ya son utilizadas por millones de usuarios en todo el mundo siguen en plena investigación entre quienes se dedican a detectar las formas en las que ciberdelincuentes podrían servirse de estas tecnologías, que van desde la redacción de correos falsos hasta el hackeo de contraseñas.
Investigadores de la Universidad de Illinois Urbana-Champaign (UIUC) realizaron pruebas sobre la capacidad de varios modelos de lenguaje (LLM) para explotar vulnerabilidades de ciberseguridad que tienen parches disponibles. Estas vulnerabilidades, conocidas como “de un día”, se refieren al período entre la divulgación y el parcheo, en contraste con las vulnerabilidades de día cero que no tienen mitigación. Este estudio busca comprender cómo los ciberdelincuentes podrían aprovechar herramientas de inteligencia artificial generativa para actividades maliciosas, como la redacción de correos falsos o el hackeo de contraseñas.
El estudio encontró que GPT-4 solo falló al intentar explotar dos vulnerabilidades, identificadas como Iris XSS (de severidad media) y Hertzbeat RCE (una vulnerabilidad crítica). Sin embargo, a pesar de su alto rendimiento, los investigadores aclararon que GPT-4 necesitó la descripción detallada extraída de la CVE para explotar estas vulnerabilidades de forma eficaz. Sin esos detalles, sólo podría explotar el 7% de las vulnerabilidades de forma independiente. Pero lo importante es que el estudio concluyó que utilizar LLM para explotar vulnerabilidades es, en líneas generales, más barato y más eficiente que el trabajo humano.