Según dice la teoría, tanto el hardware como el software con el que trabajamos en el día a día, son completamente seguros, sin embargo, todos sabemos que realmente no es así. Los procesadores de Intel con las vulnerabilidades Spectre y Meltdown son un claro ejemplo, que también se puede extrapolar a cualquier sistema operativo ya sea Windows, macOS, iOS, distribuciones Linux y demás, nadie se salva de la quema.
Algunas de estas vulnerabilidades están disponibles desde su creación, de ahí que su nombre sea zero-day. El problema al que se enfrentan los desarrolladores de hardware y software es detectar este tipo de vulnerabilidades antes de que lo hagan los amigos de lo ajeno para así parchearlas y que nadie las pueda utilizar.
La Inteligencia Artificial, al igual que el software y el hardware, tampoco es perfecta y todavía tiene mucho camino por recorrer si quiere convertirse en un verdadero Skynet. Sin embargo, mientras llegamos a ese punto, un grupo de académicos ha publicado un estudio en el que han enfrentado a varios LLMs para atacar vulnerabilidades de hardware y software.
ChatGPT aprovechando vulnerabilidades de seguridad
Según podemos leer en este estudio GPT-4, el modelo de lenguaje en el que se basa ChatGPT ha sido capaz de crear ataques que aprovechan las vulnerabilidades de las que habían sido informadas. Además de GPT-4, también se utilizaron GPT-3.5, Llama-2 (70B), OpenHermes 2.5 y Mistral 7B.
El LLM que mayor éxito ha demostrado es GTP-4, con un éxito del 87%. Estando GPT-5 ya en camino, esta nueva versión debería ser mucho más efectiva, ya que el salto de versión a versión de GPT está siendo mucho amplio de lo que cabría esperar.
Para ver la eficacia de estos LLMs, se les informó de vulnerabilidad one-day, vulnerabilidades tan peligrosas que deben corregir en el mismo día en el que han sido detectas por su elevado riesgo para la seguridad. La elevada tasa de éxito de estos LLM se debe a que se les suministro información relacionada con el CVE, por lo que sabían por donde tenían que tirar para aprovecharla.
Las vulnerabilidades detectas para crear este estudio y comprobar hasta qué punto una IA es capaz de aprovecharlas, han sido notificadas a sus creadores y, para evitar que mientras se parchean se puedan aprovechar, no han sido incluidas en el informe.
Sin embargo, el resultado es muy inferior si se entrenan los LLM para que sean capaces de identificar una vulnerabilidad y posteriormente aprovecharla, ya que no tienen un base por dónde empezar.
¿Qué significa esto? Por un lado, son buenas noticias porque significa que seguirán siendo los hackers quienes tengan que encontrar las vulnerabilidades. También son malas noticias porque de momento gracias a la IA no es posible detectar vulnerabilidades en un hardware o software para que estos sean completamente seguros cuando lleguen al mercado.
De momento, en el estado en el que se encuentra la Inteligencia Artificial no es capaz de realizar esta tarea, pero eso no nos asegura que, en los próximos años si sea capaz de llevarla a cabo de forma totalmente autónoma durante el desarrollo de hardware o software.
The post ChatGPT es capaz de generar ataques en base a la vulnerabilidad de los chips appeared first on HardZone.