Несколько месяцев назад исследователи опубликовали статью, в которой описали, как использовали GPT-4 для взлома известных уязвимостей (N-day) с 87% успехом при работе с критически важными уязвимостями из списка CVE (Common Vulnerabilities and Exposures). Это общеизвестные слабые места в программном обеспечении, которые могут быть использованы злоумышленниками для проведения атак. Каждая уязвимость получает уникальный идентификатор CVE, который содержит краткое описание проблемы и рекомендации по её устранению.

На этой неделе ученые сообщили о новых результатах: с помощью HPTSA удалось взломать 8 из 15 неизвестных уязвимостей (zero-day). Метод HPTSA предусматривает использование «планирующего агента», который управляет процессом и запускает «подагентов», отвечающих за конкретные задачи. Это снижает нагрузку на одного агента и позволяет более эффективно решать сложные задачи. Аналогичную технику использует Cognition Labs в своей системе Devin AI для разработки программного обеспечения.

В ходе тестов HPTSA оказался в разы эффективнее одиночного агента GPT-4: он выявил 8 из 15 уязвимостей, а одиночный агент — только 3. Один из исследователей, Дэниел Канг, подчеркнул, что в режиме чат-бота GPT-4 не способен самостоятельно взламывать уязвимости, так как его возможности ограничены.

Пользователи могут быть спокойны: сам по себе ChatGPT не генерирует ботов и не взламывает сайты. Отвечая на вопрос о возможности эксплуатации уязвимостей, чат-бот заявляет, что его цель — предоставление информации в рамках этических и законных границ, и предлагает обратиться к специалистам по кибербезопасности.