La mancanza di informazioni è stata identificata: i titolari di un Master in legge (LLM) hanno difficoltà a individuare le vulnerabilità del sistema e a eseguire gli exploit.

La mancanza di informazioni è stata identificata: i titolari di un Master in legge (LLM) hanno difficoltà a individuare le vulnerabilità del sistema e a eseguire gli exploit.

In uno studio recente condotto da Forescout Research - Vedere Labs, sono state testate le prestazioni di 50 modelli AI nella ricerca di vulnerabilità e nello sviluppo di exploit. I risultati mostrano un quadro misto, con alcuni modelli che hanno mostrato risultati promettenti, mentre altri hanno faticato a mantenere prestazioni costanti.

Il settore commerciale, rappresentato da società come OpenAI, Microsoft e Google, ha mostrato alcune delle migliori prestazioni attraverso i loro modelli commerciali a scopo generale, come ChatGPT, Gemini e Copilot. Tuttavia, anche questi modelli di alto livello non sono stati immuni ai limiti, spesso incontrando problemi a causa delle salvaguardie di allineamento.

Lo studio ha anche testato i modelli AI open source, che sono risultati i meno affidabili per la ricerca di vulnerabilità e lo sviluppo di exploit. I modelli di HuggingFace, ad esempio, hanno mostrato scarse prestazioni in tutti i compiti. Inconsistenze, time-out e errori sono stati problemi comuni durante i test.

I modelli underground, adattati per uso malevolo, sono stati ostacolati da problemi di usabilità come limitato accesso, comportamento instabile, formattazione del output scarsa e lunghezza del contesto limitata. Nonostante questi ostacoli, solo tre modelli della categoria commerciale sono riusciti a produrre uno exploit funzionante per i casi più difficili.

I risultati dello studio suggeriscono che, sebbene l'AI non abbia ancora trasformato il modo in cui le vulnerabilità vengono scoperte ed esploitate dagli attori minacciosi, l'era del "vibe hacking" si sta avvicinando. L'AI è probabile che porti a un aumento della frequenza degli exploit, ma non della loro sofisticatezza.

Gli attori minacciosi esperti nei forum underground tendono a esprimere scetticismo o cautela riguardo all'utilità attuale dell'AI per i compiti di exploit. Tuttavia, i rapidi miglioramenti mostrati dall'AI generativa nel corso dei tre mesi di test indicano un potenziale cambiamento nel prossimo futuro.

Misure di cybersecurity fondamentali come il principio di minima autorizzazione, la segmentazione di rete e la "zero trust" rimangono rilevanti per mitigare questi attacchi. Man mano che l'AI continua a evolversi, i difensori dovrebbero iniziare a prepararsi ora per adattarsi a queste nuove minacce e garantire la sicurezza dei loro sistemi.

Il primo compito di ricerca sulle vulnerabilità (VR) consisteva nell'identificare una specifica vulnerabilità in un breve snippet di codice, e il 48% dei modelli ha fallito. Il secondo compito VR consisteva nel generare uno exploit funzionante per un binary vulnerabile, e il 55% dei modelli ha fallito. Nella categoria dello sviluppo di exploit (ED), circa due terzi (66%) dei modelli non sono riusciti a generare uno exploit funzionante nel primo compito ED. Anche il secondo compito ED ha richiesto la generazione di uno exploit funzionante, e il 93% dei modelli ha fallito.

In conclusione, sebbene l'AI abbia un grande potenziale nel campo della ricerca di vulnerabilità e dello sviluppo di exploit, lo stato attuale dei modelli AI mostra la necessità di miglioramenti. Man mano che i difensori e i ricercatori continuano a lavorare per affinar

Leggi anche:

• Le cellule immunitarie nell'intestino possono contribuire allo sviluppo dell'Alzheimer
• Titolo di prima pagina: Eventi mondiali
• Esplorare le prospettive industriali del silicio nell'economia globale!
• La pioggia ha interrotto il primo incontro di Trump con i leader tecnologici nel Rose Garden, dopo la sua decisione di pavimentare il prato bagnato per ridurre al minimo i potenziali problemi meteorologici.