Model GPT-4 OpenAI berhasil mengeksploitasi kerentanan keamanan siber — secara konsisten lebih baik dan lebih cepat dibandingkan manusia profesional. Para akademisi mengklaim bahwa keterampilan ini merupakan tambahan terbaru pada ruang kemudi model AI, namun keterampilan ini akan menjadi lebih baik seiring berjalannya waktu.
Para peneliti di Universitas Illinois Urbana-Champaign (UIUC) baru-baru ini menerbitkan makalah tentang kasus penggunaan ini, di mana mereka mengadu beberapa model bahasa besar (LLM) satu sama lain dalam arena menyerang kerentanan keamanan. GPT-4 berhasil menyerang 87% kerentanan yang diuji ketika diberikan deskripsi eksploitasi dari CVE, database publik tentang masalah keamanan umum. Setiap model bahasa lain yang diuji (GPT-3.5, OpenHermes-2.5-Mistral-7B, Llama-2 Chat (70B), dll.), serta pemindai kerentanan yang dibuat khusus, gagal mengeksploitasi kerentanan yang disediakan bahkan satu kali pun.
LLM diberi kerentanan “satu hari” (disebut demikian karena cukup berbahaya sehingga perlu ditambal sehari setelah ditemukan) untuk diuji. Pakar keamanan siber dan pemburu eksploitasi telah membangun kariernya untuk menemukan (dan memperbaiki) kerentanan sehari-hari; yang disebut peretas topi putih dipekerjakan sebagai penguji penetrasi oleh perusahaan dengan tujuan menghindari agen jahat yang memburu kerentanan untuk dieksploitasi.
Beruntung bagi umat manusia, GPT-4 hanya mampu menyerang kerentanan yang diketahui — yang dijelaskan dalam CVE — LLM hanya memiliki tingkat keberhasilan 7% dalam hal mengidentifikasi dan kemudian mengeksploitasi bug. Dengan kata lain, kunci menuju hari kiamat peretasan belum (belum) tersedia bagi siapa pun yang dapat menulis perintah yang bagus untuk ChatGPT. Meskipun demikian, GPT-4 masih menjadi perhatian yang unik, karena kemampuannya tidak hanya untuk memahami kerentanan secara teori, namun juga untuk benar-benar melakukan langkah-langkah untuk melakukan eksploitasi secara mandiri, melalui kerangka otomatisasi.
Dan sayangnya bagi umat manusia, GPT-4 sudah lebih baik dari manusia dalam perlombaan eksploitasi. Dengan asumsi seorang pakar keamanan siber dibayar $50 per jam, makalah tersebut menyatakan bahwa “menggunakan agen LLM [to exploit security vulnerabilities] sudah 2,8× lebih murah dibandingkan tenaga kerja manusia. Agen LLM juga mudah untuk diukur, berbeda dengan tenaga kerja manusia.” Makalah ini juga memperkirakan bahwa LLM di masa depan – seperti GPT-5 yang akan datang – hanya akan tumbuh lebih kuat dalam kemampuan ini, dan mungkin juga dalam keterampilan penemuan. Dengan implikasi besar dari masa lalu. kerentanan, seperti Spectre dan Meltdown, yang masih membayangi dunia teknologi, ini adalah pemikiran yang serius.
Ketika AI terus dimainkan, dunia akan terus berubah. OpenAI secara khusus meminta penulis makalah tersebut untuk tidak mempublikasikan perintah yang mereka gunakan untuk eksperimen ini – penulis setuju dan mengatakan bahwa mereka hanya akan membuat perintah tersebut tersedia “atas permintaan”.
Berhati-hatilah saat mencoba mereplikasi ini (atau apa pun) di ChatGPT untuk Anda sendiri, karena kueri AI sangat membebani lingkungan: satu permintaan ChatGPT menghabiskan biaya hampir 10 kali lebih mahal daripada penelusuran Google yang ada. Jika Anda merasa nyaman dengan perbedaan energi tersebut dan ingin bekerja dengan LLM sendiri, berikut cara para penggemar menjalankan chatbot AI di NAS mereka.