การศึกษาใหม่เน้นย้ำถึงลักษณะสองด้านของ AI ในการเขียนโปรแกรมและความปลอดภัยทางไซเบอร์

April 19, 2024 แมตต์มิลส์ อินเทอร์เน็ต 0

การวิจัยทางวิชาการล่าสุดได้ให้ความกระจ่างถึงความสามารถที่น่าสนใจของโมเดลปัญญาประดิษฐ์ขั้นสูง โดยเฉพาะอย่างยิ่ง GPT-4 ของ OpenAI ในขอบเขตของการเขียนโปรแกรมและความปลอดภัยทางไซเบอร์

การศึกษานี้ดำเนินการโดยทีมงานจากมหาวิทยาลัยในอเมริกา เน้นย้ำถึงศักยภาพของเครื่องมือ AI ดังกล่าวในการช่วยทั้งในด้านการป้องกันความปลอดภัยทางไซเบอร์ และในทางกลับกัน เพื่ออำนวยความสะดวกในการโจมตีทางไซเบอร์

แฮ็คแชท GPT

ศักยภาพของ AI ในการใช้ประโยชน์จากช่องโหว่

จุดเน้นของการวิจัยคือการประเมินว่าโมเดล AI ที่แตกต่างกัน รวมถึง GPT-4 สามารถใช้ข้อมูลความปลอดภัยที่เปิดเผยต่อสาธารณะเพื่อใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์ได้อย่างมีประสิทธิภาพเพียงใด นักวิจัยใช้ชุดข้อมูลช่องโหว่ 15 รายการจากรีจิสทรี Common Vulnerabilities and Exposures (CVE) ซึ่งเป็นฐานข้อมูลที่ได้รับทุนสนับสนุนจากสาธารณะซึ่งแสดงรายการภัยคุกคามความปลอดภัยที่ทราบในส่วนประกอบซอฟต์แวร์

เป็นที่น่าสังเกตว่า GPT-4 สามารถใช้ประโยชน์จากช่องโหว่เหล่านี้ได้ 87% ซึ่งแตกต่างอย่างสิ้นเชิงกับอัตราการแสวงหาประโยชน์ 0% ในเวอร์ชันก่อนหน้า เช่น GPT-3.5, โมเดลภาษาขนาดใหญ่ (LLM) อื่นๆ และเครื่องสแกนช่องโหว่โอเพ่นซอร์สยอดนิยม เช่น ZAP และเมตาสพลอยต์ ประสิทธิภาพนี้ไม่เพียงแต่แสดงให้เห็นถึงความเข้าใจขั้นสูงของ GPT-4 เกี่ยวกับชุดข้อมูลที่ซับซ้อน แต่ยังรวมถึงประโยชน์ที่เป็นไปได้ในการใช้งานด้านความปลอดภัยทางไซเบอร์ในโลกแห่งความเป็นจริงอีกด้วย

ผลกระทบด้านจริยธรรมและความปลอดภัย

ความสามารถนี้แม้จะน่าประทับใจ แต่ก็ยังนำมาซึ่งข้อกังวลด้านจริยธรรมและความปลอดภัยอีกด้วย การเข้าถึงรายการ CVE แม้จะจำเป็นเพื่อความโปร่งใสและการปรับปรุงความปลอดภัยทางไซเบอร์โดยรวม แต่ก็หมายความว่าระบบ AI เช่น GPT-4 สามารถเข้าถึงข้อมูลนี้เพื่อช่วยกิจกรรมที่เป็นอันตรายได้ การวิจัยเน้นถึงคำถามสำคัญ: เราจะสร้างสมดุลระหว่างความเปิดกว้างที่จำเป็นสำหรับการรักษาความปลอดภัยร่วมกันกับความจำเป็นในการบรรเทาการใช้ข้อมูลเดียวกันในทางที่ผิดโดยระบบ AI ได้อย่างไร

การรักษาความปลอดภัยทางไซเบอร์ที่คุ้มค่าหรือเครื่องมือสำหรับอาชญากรรมทางไซเบอร์?

การค้นพบที่สำคัญอีกประการหนึ่งของการศึกษานี้คือความคุ้มค่าของการใช้ AI เช่น GPT-4 สำหรับงานด้านความปลอดภัยทางไซเบอร์ การศึกษาคาดการณ์ว่าการใช้ GPT-4 เพื่อโจมตีทางไซเบอร์ให้สำเร็จอาจมีค่าใช้จ่ายเพียง 8.80 เหรียญสหรัฐฯ ซึ่งถูกกว่าการจ้างผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่เป็นมนุษย์มาทำงานเดียวกันประมาณ 2.8 เท่า ความคุ้มค่านี้สามารถปฏิวัติกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ ทำให้องค์กรสามารถเข้าถึงกลไกการป้องกันขั้นสูงได้มากขึ้น อย่างไรก็ตาม ยังมีความเสี่ยงต่อการโจมตีทางไซเบอร์ที่มีต้นทุนต่ำพอๆ กัน ซึ่งอาจเพิ่มความถี่และความซับซ้อนของภัยคุกคามเหล่านี้

ทิศทางและข้อเสนอแนะในอนาคต

การวิจัยไม่ได้แนะนำให้จำกัดการเข้าถึงรายการ CVE เนื่องจากประโยชน์ของการเข้าถึงแบบเปิดมีมากกว่าความเสี่ยงที่อาจเกิดขึ้น แต่กลับเรียกร้องให้มีแนวทางที่เหมาะสมยิ่งขึ้นในการปรับใช้ LLM ที่มีความสามารถสูงในสาขาที่ละเอียดอ่อน เช่น ความปลอดภัยทางไซเบอร์ ซึ่งรวมถึงมาตรการกำกับดูแลที่เป็นไปได้ การตรวจสอบกิจกรรม AI ที่ได้รับการปรับปรุง และการวิจัยอย่างต่อเนื่องเกี่ยวกับการใช้ AI ที่ปลอดภัยและมีจริยธรรม

สรุป

ข้อค้นพบจากการศึกษาครั้งนี้นำเสนอข้อมูลเชิงลึกที่ลึกซึ้งเกี่ยวกับลักษณะสองด้านของ AI ในโลกไซเบอร์ แม้ว่า AI จะช่วยเพิ่มความสามารถของเราในการปกป้องโครงสร้างพื้นฐานดิจิทัลได้อย่างมาก แต่ก็ยังต้องมีการจัดการอย่างรอบคอบเพื่อป้องกันการใช้งานในทางที่ผิด ในขณะที่ AI ยังคงพัฒนาอย่างต่อเนื่อง กลยุทธ์ของเราในการควบคุมศักยภาพของมันอย่างมีความรับผิดชอบก็เช่นกัน เพื่อให้แน่ใจว่า AI จะทำหน้าที่เป็นเครื่องมือในการป้องกันมากกว่าอาวุธที่จะโจมตีเรา