L’intelligence artificielle devient un outil redoutable entre de mauvaises mains
Des chercheurs de l’Université de l’Illinois à Urbana-Champaign ont découvert que le modèle de langage GPT-4 d’OpenAI peut exploiter de manière autonome de véritables vulnérabilités de sécurité en lisant les bulletins CVE. Cette capacité inquiétante pourrait permettre à des acteurs malveillants de mener des attaques à moindre coût et plus facilement que les outils de test de vulnérabilité classiques.
Points clés
- GPT-4 a réussi à exploiter 87% des 15 vulnérabilités “one-day” testées, contre 0% pour les autres modèles de langage et outils de test de vulnérabilité
- Les vulnérabilités testées concernaient des sites web, des conteneurs et des packages Python, avec plus de la moitié classées en “élevée” ou “critique”
- Le coût estimé pour mener une attaque réussie avec un agent IA est de 8,80$ par exploit, soit 2,8 fois moins qu’un test d’intrusion humain de 30 minutes
- Le code de l’agent IA ne fait que 91 lignes et 1 056 tokens, ce qui en fait un outil redoutable entre de mauvaises mains
- Même les vulnérabilités découvertes après la période d’entraînement de GPT-4 ont été exploitées avec un taux de réussite de 82%
À retenir
Ces résultats sont véritablement alarmants et montrent que l’IA représente désormais une menace sérieuse pour la cybersécurité. Avec des outils d’exploitation aussi puissants et abordables, les pirates informatiques vont pouvoir sévir à grande échelle. Il est grand temps que les entreprises et les gouvernements renforcent urgemment leurs mesures de sécurité face à cette nouvelle réalité. Sinon, on risque de voir fleurir une nouvelle génération de “script kiddies” high-tech capables de causer de gros dégâts.
Sources
GPT-4 can exploit real vulnerabilities by reading advisories • The Register
