Các chuyên gia bảo mật tại Đại học Illinois Urbana-Champaign (UIUC) công bố kết quả nghiên cứu cho thấy GPT-4 có thể hoạt động kết hợp hoặc độc lập trong việc khai thác lỗ hổng an ninh mạng. "Chúng thậm chí tự học cách tấn công để trở nên hiệu quả hơn theo thời gian", nhóm chuyên gia cho biết.
Biểu tượng OpenAI và GPT-4 trên máy tính. Ảnh: TechGoing
Trong thử nghiệm, GPT-4 có thể khai thác thành công 87% lỗ hổng sau khi được cung cấp câu lệnh mô tả về CVE - cơ sở dữ liệu công khai về những lỗ hổng bảo mật phổ biến. Các mô hình ngôn ngữ lớn (LLM) khác cùng được thử nghiệm là GPT-3.5 của OpenAI, OpenHermes-2.5-Mistral-7B của Mistral AI và Llama-2 Chat 70B của Meta đều không thể khai thác thành công dù chỉ một lần.
Không chỉ nhanh hơn, chi phí tấn công mạng bằng GPT-4 còn rẻ hơn. Nhóm ước tính, để thuê một chuyên gia an ninh mạng cần khoảng 50 USD mỗi giờ, nhưng GPT-4 có thể làm điều tương tự với giá thấp hơn 2,8 lần.
Theo các chuyên gia, GPT-4 hiện chỉ có thể tấn công lỗ hổng đã biết. "Nói cách khác, chưa có chìa khóa dẫn đến ngày tận thế trong lĩnh vực bảo mật", nhóm cho hay. "Nhưng thử nghiệm vẫn cho thấy GPT-4 là mối lo ngại đặc biệt vì không chỉ hiểu lỗ hổng về lý thuyết, mà còn có khả năng thực hiện các bước để khai thác tự động, cũng như tự học hỏi cách tấn công mới nếu thất bại".
Nhóm dự đoán mô hình GPT-5 sắp ra mắt có thể khiến quá trình tấn công mạng trở nên dễ dàng hơn, do đó giới bảo mật "cần suy nghĩ nghiêm túc nhằm ngăn AI trở thành hacker".
OpenAI chưa đưa ra bình luận. Tuy nhiên, theo Tom's Hardware, công ty được cho là đã lập tức liên hệ với nhóm nghiên cứu, đề nghị tác giả không công khai các câu lệnh đã sử dụng trong thử nghiệm. Nhóm sau đó đã đồng ý.
Cuối năm ngoái, nhóm nghiên cứu bảo mật FortiGuard Labs (Mỹ) cũng cho biết AI tạo sinh đang có xu hướng trở thành "vũ khí tấn công mạng". Công nghệ này đang được áp dụng ở nhiều giai đoạn, từ việc đánh bại thuật toán bảo mật đến tạo video deepfake nhằm bắt chước hành vi, giọng nói đánh lừa người dùng. Thời gian tới, hacker có thể lợi dụng AI theo những cách mới, khiến hệ thống bảo mật không thể theo kịp. Ở chiều ngược lại, AI cũng có thể được ứng dụng để chống lại các cuộc tấn công mạng.
