LLMがWebサイトを自動ハッキング 研究者らが各LLMの性能を比較:セキュリティニュースアラート
最新の研究でLLMがWebサイトを自動的にハッキングできることが明らかになった。自律的なWebサイトハッキングの可能性が実証され、防御と攻撃のバランスに影響を与える可能性がある。
セキュリティ研究者らは2024年2月6日(現地時間)、論文を公開するWebサイト「arXiv」で、大規模言語モデル(LLM)がWebサイトを自律的にハッキングできるという内容の論文を発表した。この研究では関数呼び出しやAPI呼び出しを介してLLMによる複雑な操作が実現している。
Webサイトのハッキングが最も得意なLLMはどれか?
arXivには以下の論文が公開されている。
論文によると、この研究ではLLMエージェントが自律的にWebサイトをハッキングできることが示されており、特に「GPT-4」が優れた成果を挙げているという。
研究者らが検証のために開発したシステムのソースコードはわずか85行だとされている。実験にはGPT-4や「GPT-3.5」、幾つかのオープンソースのLLMなどが使われており、特にGPT-4が優秀な成績を収めている(全体的なハッキング成功率は42.7%、最も有能なケースで73.3%)。GPT-3.5の全体的な成功率は2.7%(最も有能なケースで6.7%)で、複数のオープンソースモデルの成功率は全て0%だったという。
研究者らは仮に同じことを人の手で実施した場合の費用と比較し、LLMを使った方が大幅に低いコストでハッキングを実現できるとしている。
これまで可能性としては指摘されていたが、実際に動作するシンプルなツールを開発し、複数のLLMを使ってWebサイトのハッキング成功率を比較している点でこの論文は興味深い。研究者らが開発したツールは攻撃だけでなく、脆弱(ぜいじゃく)なWebサイトの検出にも利用できる。
関連記事
- 高校生が学ぶ「情報II」が“本気すぎる” 研修にも使える教材のポイントを紹介
高校生の授業科目である「情報II」で学ぶ内容が非常に本格的だと話題になっています。大学時代に「情報」を学んでいた筆者が早速読んでみたところ、確かに“全くあなどれない”内容でした。 - 「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。 - AI時代の要注意脅威アクターとは? Microsoftが調査レポート「Cyber Signals」を公開
MicrosoftはAIの登場によってサイバーセキュリティが大きな変革を迎えているとし、AIを使った攻撃対処や人材不足への対応など新たな取り組みを「Cyber Signals」第6版において伝えた。 - Microsoftの不備と怠慢を暴いた、非常にシンプルなサイバー攻撃とは?
セキュリティ専門家たちは、Microsoftの幹部の電子メールがハッキングされたインシデントについて、同社のセキュリティ不備と怠慢の結果だとして批判している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.