Se fino a qualche mese fa l’intelligenza artificiale era principalmente limitata a rispondere alle domande umane, offrendo un supporto informativo ma senza la capacità di interagire con strumenti esterni o di svolgere compiti complessi in modo autonomo, gli sviluppi recenti nel campo dei modelli linguistici (LLM) hanno radicalmente trasformato questo scenario. Oggi, i moderni LLM possono non solo comprendere e rispondere alle richieste umane, ma anche interfacciarsi con strumenti esterni, analizzare documenti di ogni genere, eseguire operazioni esterne all’ambiente in cui prendono vita e prendere decisioni autonome.
Tale evoluzione tecnologica ha aperto la strada a una nuova era di interazione uomo-macchina, in cui gli agenti LLM non sono più meri attori passivi, ma entità autonome in grado di agire in un contesto dinamico.
In particolare, l’implementazione di capacità ricorsive ha consentito agli agenti intelligenti di eseguire compiti complessi in cui le azioni successive sono guidate dalle informazioni precedentemente acquisite. Parallelamente all’incremento di tali capacità, c’è stato un crescente interesse nel comprendere come gli agenti intelligenti potrebbero influenzare la sicurezza informatica, in particolare, si è prestata attenzione alla valutazione delle loro capacità offensive nei confronti dei siti Web.
Sorprendentemente, alcuni studi condotti da ricercatori dell’Università dell’Illinois – Urbana-Champaign, hanno dimostrato che l’IA di oggi è in grado di violare autonomamente la sicurezza di un sito Internet. Più nello specifico, alcuni ricercatori hanno dimostrato che gli agenti LLM possono eseguire attività complesse, come l’estrazione di schemi di database e operazioni di SQL Injection senza alcun intervento umano e senza necessità di conoscere preventivamente le vulnerabilità specifiche del sito. Questo dimostra una capacità notevole di adattamento e apprendimento da parte degli agenti, che possono agire in modo proattivo per individuare e sfruttare le debolezze dei sistemi online.
I ricercatori hanno creato agenti utilizzando dieci LLM diversi: GPT-4, GPT-3.5, OpenHermes-2.5-Mistral-7B, LLaMA-2 Chat (70B), LLaMA-2 Chat (13B), LLaMA-2 Chat (7B), Mixtral -8x7B Instruct, Mistral (7B) Instruct v0.2, Nous Hermes-2 Yi (34B) e OpenChat 3.5, evidenziando come il solo modello GPT-4 sia stato in grado di individuare autonomamente le vulnerabilità di un sito web, sottolineando un livello di sofisticazione che supera le capacità di altri modelli open source attualmente disponibili (GPT-3.5 si è dimostrato solo marginalmente migliore di alcuni modelli open source). Tali risultati (GPT-4 ha superato 11 test su 15 con un tasso di successo del 73%) sollevano importanti questioni sulla sicurezza informatica e la necessità di sviluppare strategie di difesa avanzate per proteggere le risorse online da potenziali attacchi condotti da agenti LLM autonomi.
Per consentire agli agenti LLM di hackerare i siti web in maniera autonoma, i ricercatori non hanno fatto altro che sfruttare strumenti e funzionalità accessibili da chiunque (ad esempio le Assistants API di Open AI) implementando gli attacchi in appena 85 righe di codice secondo uno schema ben definito.
I ricercatori hanno definito un attacco riuscito quando l’agente LLM ha raggiunto l’obiettivo, mentre l’hanno considerato fallito se dopo 10 minuti di esecuzione non ha ottenuto risultati.
Per consentire agli agenti LLM di interfacciarsi con i siti Web, i ricercatori hanno impiegato Playwright, una libreria di automazione open source per test del browser e web scraping sviluppata da Microsoft. Agli agenti è stato altresì fornito l’accesso al terminale (per accedere a strumenti come curl) e a un interprete di codice Python.
Per far comprendere agli agenti le tecniche di hacking web sono stati “dati in pasto” agli stessi sei documenti – disponibili online – che coprono un’ampia gamma di tipologie d’attacchi web: un documento sull’hacking web in generale, due documenti sulle tecniche di SQL injection, due documenti su XSS (Cross-Site Scripting, una vulnerabilità che affligge siti web che impiegano un insufficiente controllo dell’input nei form) e un documento su SSRF (Server-Side Request Forgery, una vulnerabilità che consente a un aggressore di manipolare un server, instradandolo a compiere richieste non autorizzate verso risorse interne ed esterne). Le operazioni di pianificazione sono state affidate alle Assistants API di Open AI, mentre per eseguire l’agente stesso è stato utilizzato LangChain, un framework progettato per semplificare la creazione di applicazioni utilizzando modelli linguistici di grandi dimensioni.
I ricercatori sottolineano di non aver intenzionalmente pubblicato codice specifico o istruzioni dettagliate su come eseguire gli attacchi. Tutte le prove sono state condotte su siti web di test, ben esplicitando che lo scopo della ricerca è strato esclusivamente quello di garantire l’implementazione di misure di mitigazione per prevenire attacchi informatici. Prima della pubblicazione dello studio, i ricercatori hanno condiviso i risultati con OpenAI, che da sempre dimostra impegno affinché i suoi sistemi di intelligenza artificiale non vengano impiegati per sostenere attività informatiche dannose.
Leggi anche: “Database: la SQL la iniection è dietro l’angolo ”
Il malware, che Kaspersky ha identificato come Backdoor.Win64.MLoki, è una versione private agent del framework…
Nuove funzionalità e miglioramenti per supporto hardware, gestione della CPU e della memoria, prestazioni di…
I ricercatori di Kaspersky hanno scoperto che gli attori delle minacce stanno attirando gli utenti…
Sono aperte le iscrizioni per seguire dal vivo o in diretta streaming i lavori della…
Il settore dell'istruzione è stato il più bersagliato quest'anno. In Italia +53,2% di attacchi rispetto…
Stando all’ultimo report annuale di CrowdStrike, le minacce provenienti da insider nordcoreani prendono di mira…
Abbonati ad Hackerjournal per un anno a 33,90 € con digitale in omaggio anziché 46,90 €!
CLICCA QUI PER ABBONARTI!