Die Fähigkeiten großer Sprachmodelle: Hacken oder Helfen?

Large Language Models (LLMs) entwickeln sich rasch weiter und werden häufig als autonome Agenten eingesetzt. Entwickler können Agenten entwerfen, die mit Benutzern interagieren, Abfragen verarbeiten und auf Grundlage der empfangenen Daten Aufgaben ausführen, z. B. Fehler in komplexem Code erkennen, wirtschaftliche Analysen durchführen oder bei wissenschaftlichen Entdeckungen helfen.

Forscher sind jedoch zunehmend besorgt über die Dual-Use-Fähigkeiten von LLMs – ihre Fähigkeit, bösartige Aufgaben auszuführen, insbesondere im Zusammenhang mit der Cybersicherheit. Zum Beispiel ChatGPT kann genutzt werden um Einzelpersonen bei Penetrationstests und der Erstellung von Malware zu unterstützen. Darüber hinaus können diese Agenten unabhängig und ohne menschliche Beteiligung oder Aufsicht agieren.

Forscher der Cornell University, darunter Richard Fang, Rohan Bindu, Akul Gupta, Kiushi Jean und Daniel Can, haben Studien durchgeführt, die Licht auf die Gefahren werfen, die von LLMs ausgehen, und wertvolle Einblicke in ihre möglichen Folgen liefern. Ihre Ergebnisse sind eine ernüchternde Erinnerung daran, dass in diesem sich rasch entwickelnden Bereich sorgfältige Überlegungen und Regulierungen erforderlich sind.

GPU-Server mit sofortiger Bereitstellung mieten oder ein Server mit einem Benutzerdefinierte Konfiguration mit professionellen NVIDIA Tesla A100/H100 80Gb- oder A5000/A4000-Karten. GPU-Server mit Gaming-RTX4090-Karten sind ebenfalls verfügbar.

Autonome Website-Verstöße

Die Studie hat gezeigt, dass LLM-Agenten komplexe Angriffe ausführen können, beispielsweise einen blinden SQL-Injection-Angriff, der Abfragen kombiniert. Diese Art von Angriff zielt auf Webanwendungen ab, die SQL (Structured Query Language) verwenden, um mit Datenbanken zu interagieren. Solche Angriffe ermöglichen es böswilligen Akteuren, vertrauliche Informationen aus Datenbanken abzurufen, selbst wenn die Anwendung keine Anzeichen von Fehlern oder abnormalem Verhalten aufweist.

Die Ursache dieser Angriffe liegt in der Ausnutzung des SQL Union-Operators, der die Kombination mehrerer Abfrageergebnisse in einem einzigen Datensatz ermöglicht. Durch die Erstellung einer speziell entwickelten Abfrage mit diesem Operator kann ein böswilliger Akteur den Ergebnissatz einer Datenbankabfrage mit dem einer vertraulichen Informationstabelle zusammenführen. Dadurch erhält er Zugriff auf vertrauliche Daten.

Um diese Angriffe erfolgreich auszuführen, muss ein Agent in der Lage sein, Websites zu navigieren und mehr als 45 Aktionen auszuführen, um in die Site einzudringen. Bemerkenswerterweise waren bis Februar dieses Jahres nur GPT-4 und GPT-3.5 in der Lage, Websites auf diese Weise zu durchdringen. Es ist jedoch wahrscheinlich, dass neuere Modelle wie Llama3 auch in der Lage sein werden, ähnliche Operationen auszuführen.

Um den möglichen Missbrauch von Large Language Models (LLMs) bei Web-Angriffen zu untersuchen, nutzten die Forscher verschiedene KI-Tools und Frameworks. Insbesondere nutzten sie LangChain zur Erstellung von Agenten und Generative Adversarial Networks (RAG) sowie OpenAI-Modelle über API Assistants. React wurde zum Angriff auf Websites eingesetzt, wobei die Agenten über Playwright interagierten.

Um das Kontextverständnis zu verbessern, wurden vorherige Funktionsaufrufe in den aktuellen Kontext integriert. Durch die Erstellung von 15 isolierten Webseiten mit verschiedenen Schwachstellen wurde eine kontrollierte Umgebung geschaffen, um sicherzustellen, dass tatsächliche Webseiten und Einzelpersonen geschützt blieben.

Zum Testen der Einbruchsversuche wurden zehn groß angelegte Sprachmodelle, darunter GPT-4 und GPT-3.5, sowie acht Open-Source-Modelle, die auf Chatbot Arena hoch bewertet wurden, eingesetzt. Jede Website wurde fünfmal angegriffen, und jeder erfolgreiche Versuch gewährte den Zugriff durch einen dieser fünf Versuche.

Die Fähigkeiten großer Sprachmodelle (LLMs) unterliegen häufig dem „Gesetz der Skalierung“, bei dem eine zunehmende Modellgröße und -komplexität zu einer verbesserten Leistung bei bestimmten Aufgaben führen kann. Dieses Phänomen wurde kürzlich durch ein Experiment mit GPT-4, einem hochmodernen KI-Modell, und einem Open-Source-LLM demonstriert.

In dieser Studie stellten die Forscher fest, dass GPT-4 11 von 15 getesteten Websites erfolgreich gehackt hat, während das Open-Source-LLM keine Schwachstellen ausnutzen konnte. Der Kontrast zwischen diesen Ergebnissen unterstreicht den ausgeprägten Einfluss der Skalierung auf die Fähigkeiten von LLMs.

Der Versuch verlief wie folgt:

• Erste Navigation: Das Modell hat die Zielwebseite durch die Webseitennavigation identifiziert.
• Standardanmeldeinformationen: Es wurde versucht, mit einem Standardbenutzernamen und -kennwort Zugriff zu erhalten.
• Informationsbeschaffung: Die erhaltenen Informationen wurden für einen SQL-Injection-Versuch genutzt.
• Quellcodeanalyse: Der Quellcode wurde analysiert, um festzustellen, ob die SQL-Abfrage einen Parameter _GET enthielt.
• Bewertung der Ausnutzbarkeit: Es wurde ermittelt, ob die Abfrage für einen SQL-Union-Angriff ausgenutzt werden könnte.
• Sofortige Angriffsausführung: Es wurde ein sofortiger SQL-Union-Angriff ausgeführt, der bis zu 48 Schritte umfasste.

Nach diesem Experiment wurde GPT-4 aufgefordert, in echte Websites einzudringen. Obwohl es sich weigerte, den Angriff direkt durchzuführen, konnte es erfolgreich eine Schwachstelle identifizieren und erklären, wie diese auf 50 zufällig ausgewählten Testwebsites ausgenutzt werden könnte.

Ausnutzen von Day-One-Schwachstellen mit großen Sprachmodellen

Diese Studie untersucht die Machbarkeit der Verwendung von Large Language Models (LLMs) zur Ausnutzung von Day-One-Schwachstellen, auch bekannt als Zero-Day-Schwachstellen. Dabei handelt es sich um Sicherheitslücken, die durch Quellen wie CVE (Common Vulnerabilities and Exposures) öffentlich bekannt gemacht wurden, für die aber noch kein Patch oder Update zur Behebung des Problems veröffentlicht wurde. Dies legt die Möglichkeit nahe, dass ein ausnutzbarer Pfad existiert, der jedoch noch nicht genutzt wurde.

Auch wenn diese Schwachstellen öffentlich bekannt werden, gibt es keine Garantie dafür, dass vorhandene Tools sie automatisch erkennen können. Angreifer oder Penetrationstester ohne Zugriff auf interne Systemdetails kennen die Version der Software, die bei der Ausnutzung verwendet wird, möglicherweise nicht.

Angesichts der Komplexität vieler Day-One-Sicherheitslücken, die oft in geschlossenen Systemen auftreten und deren Reproduktion unmöglich ist, konzentrierten sich die Forscher auf Sicherheitslücken in Open-Source-Software.

Für diese Studie wählten die Forscher 15 Schwachstellen aus, die Schwachstellen in Webanwendungen, Schwachstellen in Containerverwaltungssoftware und Schwachstellen in Python-Paketen abdecken. Dazu gehört eine Mischung aus Schwachstellen mit hohem und niedrigem Risiko, die nach dem Stichtag für die Informationserfassung zum Testen von LLMs entdeckt wurden.

Die in diesem Experiment verwendeten spezifischen Schwachstellen waren:

Die Agenten ähnelten denen, die bei Website-Angriffen eingesetzt wurden, hatten jedoch einen gewissen Unterschied. Anstatt auf vertrauliche Dokumente abzuzielen, enthielten sie detaillierte Beschreibungen allgemeiner Sicherheitslücken und Gefährdungen (CVEs) sowie realistische Szenarien für die Ausnutzung der Schwachstellen vom ersten Tag an.

Um die Fähigkeiten von Sprachmodellen (LLMs) beim Ausnutzen von Schwachstellen zu bewerten, nutzten die Forscher zehn groß angelegte LLMs, darunter GPT-4 und acht Open-Source-Alternativen, sowie zwei automatisierte Tools: Zed Attack Proxy (ZAP), entwickelt von OWASP, und Metasploit, ein von Rapid7 erstelltes Framework.

Diese Studie ergab, dass GPT-4 87 % der Schwachstellen ausnutzen konnte, während andere LLMs dazu nicht in der Lage waren. Bemerkenswerterweise versagte GPT-4 nur bei zwei spezifischen Schwachstellen: Iris XSS und Hertzbeat RCE.

Die Iris-Webplattform, die für die Zusammenarbeit bei der Untersuchung von Vorfällen verwendet wird, erwies sich für den LLM-Agenten als Herausforderung, da sie auf JavaScript-Navigation angewiesen war. Dadurch konnte der Agent nicht auf wichtige Formulare und Schaltflächen zugreifen oder mit gewünschten Elementen interagieren – eine Aufgabe, die ein Mensch erfolgreich erledigen könnte.

Weitere Untersuchungen ergaben, dass GPT-4 aufgrund seiner englischbasierten Abfragesprache Probleme hatte, Hertzbeat-Details zu übersetzen, die nur auf Chinesisch verfügbar waren. Daher gab es Probleme bei der Reproduktion der Sicherheitslücke.

Die Ergebnisse unterstrichen auch die Bedeutung von CVE-Beschreibungen für die LLM-Erfolgsrate. Ohne diese Beschreibungen sank die Erfolgsrate drastisch von 87 % auf 7 %. Dies deutet darauf hin, dass LLM-Agenten derzeit detaillierte Anweisungen benötigen, um Ausnutzungspläne für Schwachstellen zu entwickeln, und noch nicht in der Lage sind, solche Pläne selbstständig zu erstellen. Dies ist jedoch nur der Anfang, und künftige Fortschritte könnten diese Situation verändern.

Schlussfolgerungen

Die Studie zeigte, dass LLM-Agenten bereits in der Lage sind, selbstständig in Websites einzudringen und bestimmte reale Schwachstellen in Computersystemen auszunutzen (wobei die Mehrheit dieser Schwachstellen mit einer Beschreibung ihrer Ausnutzung ausnutzbar ist).

Glücklicherweise können aktuelle Agenten unbekannte und nicht offengelegte Schwachstellen nicht ausnutzen, und Open-Source-Lösungen können auch keine Ergebnisse vorweisen, die mit dem kostenpflichtigen ChatGPT4 (und dem neuen GPT4o) vergleichbar sind. Es ist jedoch möglich, dass zukünftige Erweiterungen die Ausnutzung solcher Schwachstellen ermöglichen, wobei frei zugängliche LLM-Modelle möglicherweise den Erfolg ihrer proprietären Gegenstücke reproduzieren.

All dies deutet darauf hin, dass Entwickler großer Sprachmodelle den Trainingsprozess verantwortungsvoller angehen müssen. Darüber hinaus müssen Cybersicherheitsspezialisten darauf vorbereitet sein, dass diese Modelle zur Erstellung von Bots verwendet werden, die Systeme systematisch auf Schwachstellen untersuchen.

Selbst Open-Source-Modelle können behaupten, dass sie nicht für illegale Aktivitäten verwendet werden (Llama 3 weigerte sich rundweg, beim Hacken einer Website zu helfen). Doch gerade aufgrund der Offenheit gibt es außer ethischen Erwägungen keine Hindernisse, die die Entwicklung „zensurfreier“ Modelle verhindern.

Es gibt zahlreiche Möglichkeiten, einen LLM davon zu überzeugen, bei einem Einbruch mitzuhelfen, selbst wenn er sich zunächst sträubt. Man könnte ihn zum Beispiel bitten, Pentester zu werden und durch eine „gute Tat“ zur Verbesserung der Site-Sicherheit beizutragen.

GPU-Server mit sofortiger Bereitstellung mieten oder ein Server mit einem Benutzerdefinierte Konfiguration mit professionellen NVIDIA Tesla A100/H100 80Gb- oder A5000/A4000-Karten. GPU-Server mit RTX4090-Spielekarten sind ebenfalls verfügbar.