Jimmy
Moderator
Mô hình trí tuệ nhân tạo GPT-4 của OpenAI đang gây lo ngại trong giới bảo mật mạng khi các chuyên gia tại Đại học Illinois Urbana-Champaign (UIUC) công bố kết quả nghiên cứu cho thấy khả năng khai thác lỗ hổng an ninh mạng của nó. Theo nhóm nghiên cứu, GPT-4 có thể hoạt động độc lập hoặc kết hợp để tìm và khai thác các lỗ hổng bảo mật, thậm chí còn có khả năng tự học hỏi để trở nên hiệu quả hơn theo thời gian.
Trong thử nghiệm, GPT-4 đã thành công trong việc khai thác 87% lỗ hổng sau khi được cung cấp các câu lệnh mô tả về CVE - cơ sở dữ liệu công khai về những lỗ hổng bảo mật phổ biến. Đáng chú ý, các mô hình ngôn ngữ lớn (LLM) khác như GPT-3.5 của OpenAI, OpenHermes-2.5-Mistral-7B của Mistral AI và Llama-2 Chat 70B của Meta đều không thể khai thác thành công dù chỉ một lần.
Bên cạnh tốc độ nhanh hơn, chi phí tấn công mạng bằng GPT-4 cũng rẻ hơn đáng kể so với con người. Nhóm nghiên cứu ước tính rằng để thuê một chuyên gia an ninh mạng cần khoảng 50 USD mỗi giờ, trong khi GPT-4 có thể thực hiện công việc tương tự với chi phí thấp hơn 2,8 lần.
Tuy nhiên, các chuyên gia cũng lưu ý rằng hiện tại GPT-4 chỉ có thể tấn công các lỗ hổng đã biết và chưa thể tạo ra "chìa khóa dẫn đến ngày tận thế trong lĩnh vực bảo mật". Dù vậy, khả năng hiểu lỗ hổng về lý thuyết, thực hiện các bước khai thác tự động và tự học hỏi cách tấn công mới của GPT-4 vẫn đang là mối lo ngại đặc biệt.
Nhóm nghiên cứu dự đoán rằng mô hình GPT-5 sắp ra mắt có thể khiến quá trình tấn công mạng trở nên dễ dàng hơn nữa. Do đó, giới bảo mật cần suy nghĩ nghiêm túc để ngăn chặn AI trở thành công cụ của hacker.
Mặc dù OpenAI chưa đưa ra bình luận chính thức, nhưng theo Tom's Hardware, công ty đã nhanh chóng liên hệ với nhóm nghiên cứu và đề nghị không công khai các câu lệnh đã sử dụng trong thử nghiệm, điều mà các tác giả đã đồng ý.
Trước đó, vào cuối năm ngoái, nhóm nghiên cứu bảo mật FortiGuard Labs (Mỹ) cũng đã cảnh báo về xu hướng AI tạo sinh đang trở thành "vũ khí tấn công mạng". Công nghệ này đang được áp dụng ở nhiều giai đoạn, từ việc đánh bại thuật toán bảo mật đến tạo video deepfake nhằm đánh lừa người dùng. Trong tương lai, hacker có thể lợi dụng AI theo những cách mới, khiến hệ thống bảo mật khó có thể theo kịp. Tuy nhiên, ở chiều ngược lại, AI cũng có thể được ứng dụng để chống lại các cuộc tấn công mạng.
Với những phát hiện mới nhất về khả năng của GPT-4, giới bảo mật đang đứng trước thách thức lớn trong việc ngăn chặn AI trở thành công cụ nguy hiểm trong tay kẻ xấu. Đồng thời, việc nghiên cứu và phát triển các ứng dụng AI trong lĩnh vực an ninh mạng cũng trở nên cấp thiết hơn bao giờ hết.
Trong thử nghiệm, GPT-4 đã thành công trong việc khai thác 87% lỗ hổng sau khi được cung cấp các câu lệnh mô tả về CVE - cơ sở dữ liệu công khai về những lỗ hổng bảo mật phổ biến. Đáng chú ý, các mô hình ngôn ngữ lớn (LLM) khác như GPT-3.5 của OpenAI, OpenHermes-2.5-Mistral-7B của Mistral AI và Llama-2 Chat 70B của Meta đều không thể khai thác thành công dù chỉ một lần.
Tuy nhiên, các chuyên gia cũng lưu ý rằng hiện tại GPT-4 chỉ có thể tấn công các lỗ hổng đã biết và chưa thể tạo ra "chìa khóa dẫn đến ngày tận thế trong lĩnh vực bảo mật". Dù vậy, khả năng hiểu lỗ hổng về lý thuyết, thực hiện các bước khai thác tự động và tự học hỏi cách tấn công mới của GPT-4 vẫn đang là mối lo ngại đặc biệt.
Nhóm nghiên cứu dự đoán rằng mô hình GPT-5 sắp ra mắt có thể khiến quá trình tấn công mạng trở nên dễ dàng hơn nữa. Do đó, giới bảo mật cần suy nghĩ nghiêm túc để ngăn chặn AI trở thành công cụ của hacker.
Mặc dù OpenAI chưa đưa ra bình luận chính thức, nhưng theo Tom's Hardware, công ty đã nhanh chóng liên hệ với nhóm nghiên cứu và đề nghị không công khai các câu lệnh đã sử dụng trong thử nghiệm, điều mà các tác giả đã đồng ý.
Trước đó, vào cuối năm ngoái, nhóm nghiên cứu bảo mật FortiGuard Labs (Mỹ) cũng đã cảnh báo về xu hướng AI tạo sinh đang trở thành "vũ khí tấn công mạng". Công nghệ này đang được áp dụng ở nhiều giai đoạn, từ việc đánh bại thuật toán bảo mật đến tạo video deepfake nhằm đánh lừa người dùng. Trong tương lai, hacker có thể lợi dụng AI theo những cách mới, khiến hệ thống bảo mật khó có thể theo kịp. Tuy nhiên, ở chiều ngược lại, AI cũng có thể được ứng dụng để chống lại các cuộc tấn công mạng.
Với những phát hiện mới nhất về khả năng của GPT-4, giới bảo mật đang đứng trước thách thức lớn trong việc ngăn chặn AI trở thành công cụ nguy hiểm trong tay kẻ xấu. Đồng thời, việc nghiên cứu và phát triển các ứng dụng AI trong lĩnh vực an ninh mạng cũng trở nên cấp thiết hơn bao giờ hết.
