Une nouvelle étude met en évidence la nature à double tranchant de l’IA dans la programmation et la cybersécurité

Des recherches universitaires récentes ont mis en lumière certaines capacités convaincantes, quoique préoccupantes, des modèles avancés d'intelligence artificielle, en particulier le GPT-4 d'OpenAI, dans le domaine de la programmation et de la cybersécurité.

Cette étude, menée par une équipe d’une université américaine, souligne le potentiel de tels outils d’IA à la fois pour contribuer aux défenses de cybersécurité et, à l’inverse, pour faciliter les cyberattaques.

piratage de chatgpt

La puissance de l’IA pour exploiter les vulnérabilités

L'objectif de la recherche était d'évaluer l'efficacité avec laquelle différents modèles d'IA, y compris GPT-4, pouvaient utiliser les données de sécurité accessibles au public pour exploiter les vulnérabilités logicielles. Les chercheurs ont utilisé un ensemble de données de 15 vulnérabilités du registre CVE (Common Vulnerabilities and Exposures), une base de données financée par des fonds publics qui répertorie les menaces de sécurité connues dans les composants logiciels.

Remarquablement, GPT-4 a pu exploiter 87 % de ces vulnérabilités, un contraste frappant avec le taux d'exploitation de 0 % des versions antérieures comme GPT-3.5, d'autres grands modèles de langage (LLM) et des scanners de vulnérabilités open source populaires tels que ZAP. et Metasploit. Cette efficacité démontre non seulement la compréhension avancée de GPT-4 des ensembles de données complexes, mais également son utilité potentielle dans les applications réelles de cybersécurité.

Implications éthiques et de sécurité

Cette capacité, bien qu’impressionnante, soulève également une multitude de problèmes d’éthique et de sécurité. L'accessibilité de la liste CVE, bien que nécessaire à la transparence et à l'amélioration de la cybersécurité à tous les niveaux, signifie également que les systèmes d'IA comme GPT-4 peuvent accéder à ces données pour potentiellement faciliter des activités malveillantes. La recherche met en lumière une question cruciale : comment pouvons-nous équilibrer l’ouverture nécessaire à la sécurité collaborative avec la nécessité d’atténuer l’utilisation abusive potentielle des mêmes informations par les systèmes d’IA ?

Cybersécurité rentable ou outil de cybercriminalité ?

Une autre conclusion importante de l’étude est la rentabilité de l’utilisation d’une IA comme GPT-4 pour les tâches de cybersécurité. L’étude estime que l’utilisation de GPT-4 pour mener à bien une cyberattaque pourrait coûter aussi peu que 8.80 dollars, soit environ 2.8 fois moins cher que l’embauche d’un professionnel de la cybersécurité humaine pour la même tâche. Cette rentabilité pourrait révolutionner les stratégies de cybersécurité, rendant les mécanismes de défense avancés plus accessibles aux organisations. Cependant, cela présente également un risque de cyberattaques tout aussi peu coûteuses, augmentant potentiellement la fréquence et la sophistication de ces menaces.

Orientations futures et recommandations

L’étude ne suggère pas de restreindre l’accès à la liste CVE, car les avantages du libre accès dépassent les risques potentiels. Au lieu de cela, cela appelle à une approche plus nuancée du déploiement de LLM hautement performants dans des domaines sensibles comme la cybersécurité. Cela comprend d’éventuelles mesures réglementaires, une surveillance renforcée des activités d’IA et des recherches en cours sur une utilisation sûre et éthique de l’IA.

Conclusion

Les résultats de cette étude offrent un aperçu approfondi de la nature à double tranchant de l’IA en matière de cybersécurité. Si l’IA peut améliorer considérablement notre capacité à protéger les infrastructures numériques, elle nécessite également une gestion prudente pour éviter toute utilisation abusive. À mesure que l’IA continue d’évoluer, nos stratégies pour exploiter son potentiel de manière responsable doivent également évoluer, en veillant à ce qu’elle serve d’outil de protection plutôt que d’arme contre nous.