จะเกิดอะไรขึ้น หากมีการใช้ AI ค้นหา Zero-Day และโจมตี
Techhub อยากพาทุกคนมาดูงานวิจัย AI ตัวนึง ที่สามารถค้นหาช่องโหว่ Zero-day ได้ดีกว่าเครื่องมืออื่น ๆ
งานวิจัยนี้เขียนขึ้นโดยนักวิทยาศาสตร์คอมพิวเตอร์จาก University of Illinois Urbana-Champaign (UIUC) โดยมีจุดมุ่งหมายเพื่อสร้างต่อยอดงานวิจัยเกี่ยวกับศักยภาพของแชทบอทในการโจมตีคอมพิวเตอร์โดยอัตโนมัติ
นักวิจัยได้ทดลองใช้ ChatGPT-4 ซึ่งเป็น Chatbot ที่มีความฉลาดมากที่สุดในปัจจุบัน เพื่อค้นหาช่องโหว่ของระบบคอมพิวเตอร์และสามารถใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยที่อันตรายได้อย่างไร
การวิจัยนี้มีการใช้เครื่องมืออื่นควบคู่ด้วย อย่างเช่น LLM แบบโอเพ่นซอร์สอื่น และเครื่องสแกนช่องโหว่ เช่น ZAP และ Metasploit รวมถึง GPT-3.5 ซึ่ง AI รวมถึงเครื่องมืออื่น ๆ จะต้องเผชิญกับฐานข้อมูลช่องโหว่แบบ Zero-day จำนวน 15 รายการที่เกี่ยวข้องกับจุดบกพร่องของเว็บไซต์ ข้อบกพร่องของคอนเทนเนอร์ และแพ็คเกจ Python ที่มีช่องโหว่
ผลการวิจัยพบว่า GPT-4 สามารถค้นหาใช้ประโยชน์จากช่องโหว่ที่ทดสอบได้มากถึง 87 เปอร์เซ็นต์ ในขณะที่ GPT-3.5 มีอัตราความสำเร็จเป็น 0 เปอร์เซ็นต์ครับ และนี่ก็ทำให้เห็นว่า AI ค่อนข้างที่จะมีประสิทธิอย่างมากที่เราจะใช้ต่อสู้กับ Zero-Day
อย่างไรก็ตาม ถ้าหากเครื่องมือมันไปอยู่ในมือผู้ไม่หวังดีล่ะ… การโจมตีจะง่ายและขึ้นมาก เพราะแฮกเกอร์สามารถประหยัดเวลาในการค้นหาช่องโหว่ของระบบต่าง ๆ ได้ หนำซ้ำ ยังสามารถระบุช่องโหว่ได้ชัดเจน คล้ายกับการชี้โพรงให้กระรอกเลยครับ อีกหน่อย เราต้องมี AI ส่วนตัวไว้ป้องกันการโจมตีไหมเนี่ย..
ที่มา
techspot