Un nuovo studio condotto presso l'Università di Illinois Urbana-Champaign (UIUC) solleva interrogativi cruciali sull'uso dell'intelligenza artificiale nella scoperta e sfruttamento delle vulnerabilità dei sistemi. Secondo quanto riportato dai ricercatori, i modelli linguistici di IA, in particolare il GPT-4 di OpenAI, possono sfruttare con successo le vulnerabilità reali descritte negli avvisi CVE.
L'indagine, che ha coinvolto 600 sviluppatori intervistati tra febbraio e marzo 2024, ha evidenziato che il GPT-4 è stato in grado di sfruttare l'87% delle vulnerabilità analizzate, rispetto allo zero percento di altri modelli e scanner di vulnerabilità open-source testati. Questo risultato solleva preoccupazioni riguardo alla potenziale manipolazione dell'IA per scopi malevoli nel campo della sicurezza informatica.
Un aspetto particolarmente inquietante emerso dallo studio è l'utilizzo di modelli di IA per individuare e sfruttare le cosiddette "vulnerabilità one-day", ossia quelle vulnerabilità che sono state divulgate ma non ancora corrette. Questo mette in luce la necessità di una risposta tempestiva e proattiva da parte delle organizzazioni per proteggere i propri sistemi da possibili attacchi.
I ricercatori hanno sottolineato anche la crescente diffusione dei giochi live-service, caratterizzati da aggiornamenti regolari e acquisti in-app. Questo solleva la questione della necessità di implementare misure di sicurezza robuste e aggiornamenti regolari per proteggere i sistemi da potenziali minacce.
I ricercatori ritengono che limitare l'accesso alle informazioni di sicurezza non sia una soluzione efficace. Piuttosto, sottolineano l'importanza di adottare misure di sicurezza proattive e di mantenere una stretta collaborazione tra sviluppatori, ricercatori e organizzazioni per mitigare i rischi associati all'uso dell'IA nella sicurezza informatica.