Um estudo recente testou e confirmou a capacidade do GPT-4 para explorar vulnerabilidades de cibersegurança de dia zero sem intervenção humana. As falhas de dia zero são aquelas que são comunicadas às empresas donas daquele software no mesmo dia em que são reveladas publicamente, deixando as empresas sem qualquer margem para as corrigir antes de poderem começar a ser exploradas por terceiros para lançar ataques.

O objetivo da pesquisa, realizada pela Universidade de Illinois em Urbana-Champaign, era determinar se um agente inteligente conseguia explorar sozinho este tipo de vulnerabilidades. A maioria dos LLMs testados não conseguiu. O GPT4 conseguiu fazê-lo, com uma taxa de sucesso de 87%.

“Os nossos resultados mostram duas coisas: uma capacidade emergente e que descobrir uma vulnerabilidade é mais difícil do que explorá-la”, referem os investigadores, citados pelo site BGR. Segundo a mesma fonte, esta análise evidencia também a “necessidade de comunidade de cibersegurança e fornecedores de LLM refletirem cuidadosamente sobre a forma de integrar os agentes LLM em medidas defensivas e sobre a sua utilização generalizada”.

Num artigo publicado no site TechSpot explica-se que os investigadores começaram por reunir 15 vulnerabilidades reais deste tipo, na base de dados Common Vulnerabilities and Exposures (CVE). Criaram depois um prompt e definiram uma framework para o agente baseado num LLM e acrescentaram várias ferramentas, como um elemento de navegação na Web, um interpretador de código e a capacidade de criar e editar ficheiros.

Vale a pena sublinhar que a taxa de sucesso alcançada pelo GPT-4 com esta combinação reduz para 7%, sempre que os investigadores não conseguiram fornecer uma descrição do CVE, o que para já são boas notícias, mas pode ser contornado “melhorando as capacidades de planeamento e exploração dos agentes”, lembram os autores do estudo.

Os resultados da pesquisa foram partilhados com a OpenAI, que pediu à Universidade para não partilhar prompts criados.