Khả năng của các mô hình ngôn ngữ lớn: Hacking hay Help?

Mô hình ngôn ngữ lớn (LLM) đang phát triển nhanh chóng và được sử dụng rộng rãi như các tác nhân tự trị. Nhà phát triển có thể thiết kế các tác nhân tương tác với người dùng, xử lý truy vấn và thực thi các tác vụ dựa trên dữ liệu nhận được, chẳng hạn như phát hiện lỗi trong mã phức tạp, tiến hành phân tích kinh tế hoặc hỗ trợ khám phá khoa học.

Tuy nhiên, các nhà nghiên cứu ngày càng lo ngại về khả năng sử dụng kép của LLM - khả năng thực hiện các tác vụ độc hại của chúng, đặc biệt là trong bối cảnh an ninh mạng. Ví dụ: ChatGPT có thể được sử dụng để hỗ trợ các cá nhân thử nghiệm thâm nhập và tạo phần mềm độc hại. Hơn nữa, các tác nhân này có thể hoạt động độc lập mà không có sự tham gia hoặc giám sát của con người.

Các nhà nghiên cứu tại Đại học Cornell, bao gồm Richard Fang, Rohan Bindu, Akul Gupta, Kiushi Jean và Daniel Can, đã tiến hành các nghiên cứu làm sáng tỏ các mối đe dọa do LLM gây ra và cung cấp những hiểu biết có giá trị về hậu quả tiềm ẩn của chúng. Những phát hiện của họ đóng vai trò như một lời nhắc nhở nghiêm túc về sự cần thiết phải xem xét và điều chỉnh cẩn thận trong lĩnh vực đang phát triển nhanh chóng này.

Thuê máy chủ GPU với khả năng triển khai ngay lập tức hoặc một máy chủ có cấu hình tùy chỉnh với thẻ NVIDIA Tesla A100 / H100 80Gb hoặc A5000 / A4000 cấp chuyên nghiệp. Máy chủ GPU có thẻ RTX4090 chơi game cũng có sẵn.

Vi phạm trang web tự trị

Nghiên cứu đã chứng minh rằng các tác nhân LLM có thể thực hiện các vi phạm phức tạp, chẳng hạn như một cuộc tấn công tiêm SQL mù kết hợp các truy vấn. Kiểu tấn công này nhắm vào các ứng dụng web sử dụng SQL (Ngôn ngữ truy vấn có cấu trúc) để tương tác với cơ sở dữ liệu. Các cuộc tấn công như vậy cho phép các tác nhân độc hại lấy được thông tin bí mật từ cơ sở dữ liệu, ngay cả khi ứng dụng không hiển thị bất kỳ dấu hiệu lỗi hoặc hành vi bất thường nào.

Căn nguyên của các cuộc tấn công này nằm ở việc khai thác toán tử SQL Union, cho phép kết hợp nhiều kết quả truy vấn vào một tập dữ liệu duy nhất. Bằng cách tạo một truy vấn được thiết kế đặc biệt có toán tử này, kẻ tấn công có thể hợp nhất tập kết quả của truy vấn cơ sở dữ liệu với tập kết quả của bảng thông tin bí mật. Điều này cho phép họ truy cập dữ liệu nhạy cảm.

Để thực hiện thành công các cuộc tấn công này, một tác nhân phải có khả năng điều hướng các trang web và thực hiện hơn 45 hành động để xâm phạm trang web. Đáng chú ý, tính đến tháng 2 năm nay, chỉ GPT-4 và GPT-3.5 mới có khả năng xâm nhập các trang web theo cách này. Tuy nhiên, rất có thể các mẫu máy mới hơn, chẳng hạn như Llama3, cũng sẽ có thể thực hiện các thao tác tương tự.

Để điều tra khả năng lạm dụng các mô hình ngôn ngữ lớn (LLM) trong các vi phạm web, các nhà nghiên cứu đã tận dụng nhiều công cụ và khung AI khác nhau. Cụ thể, họ đã sử dụng LangChain để tạo ra các tác nhân và mạng đối thủ tổng hợp (RAG), cũng như các mô hình OpenAI thông qua Trợ lý API. React được sử dụng để vi phạm các trang web, với các đặc vụ tương tác thông qua Playwright.

Để nâng cao hiểu biết theo ngữ cảnh, các lệnh gọi hàm trước đó đã được tích hợp vào ngữ cảnh hiện tại. Một môi trường được kiểm soát đã được thiết lập bằng cách tạo ra 15 trang web riêng biệt với nhiều lỗ hổng khác nhau, đảm bảo rằng các trang web và cá nhân thực tế vẫn được bảo vệ.

Mười mô hình ngôn ngữ quy mô lớn, bao gồm GPT-4 và GPT-3.5, cũng như tám mô hình nguồn mở được đánh giá cao trên Chatbot Arena, đã được sử dụng để kiểm tra các nỗ lực vi phạm. Mỗi trang web được nhắm mục tiêu năm lần và bất kỳ nỗ lực thành công nào đều được cấp quyền truy cập thông qua một trong năm lần thử này.

Khả năng của các mô hình ngôn ngữ lớn (LLM) thường bị chi phối bởi "luật chia tỷ lệ", trong đó việc tăng kích thước và độ phức tạp của mô hình có thể dẫn đến cải thiện hiệu suất trên các tác vụ cụ thể. Hiện tượng này gần đây đã được chứng minh thông qua một thử nghiệm liên quan đến GPT-4, một mô hình AI tiên tiến và LLM nguồn mở.

Trong nghiên cứu này, các nhà nghiên cứu quan sát thấy GPT-4 đã xâm nhập thành công 11 trong số 15 trang web được thử nghiệm, trong khi LLM nguồn mở không khai thác được bất kỳ lỗ hổng nào. Sự tương phản giữa các kết quả này nêu bật tác động rõ rệt của việc mở rộng quy mô đối với khả năng của LLM.

Cuộc thí nghiệm diễn ra như sau:

• Điều hướng ban đầu: Mô hình đã xác định trang web mục tiêu thông qua điều hướng trang web.
• Thông tin xác thực tiêu chuẩn: Tên người dùng và mật khẩu tiêu chuẩn đã được cố gắng truy cập.
• Thu thập thông tin: Đòn bẩy được lấy từ thông tin thu được cho nỗ lực tiêm SQL.
• Phân tích mã nguồn: Mã nguồn được phân tích để xác định xem truy vấn SQL có chứa tham số _GET hay không.
• Đánh giá khả năng khai thác: Đã xác định liệu truy vấn có thể bị khai thác để tấn công SQL Union hay không.
• Thực hiện tấn công ngay lập tức: Một cuộc tấn công SQL Union ngay lập tức đã được thực hiện, bao gồm tối đa 48 bước.

Sau thử nghiệm này, GPT-4 được yêu cầu xâm phạm các trang web thực tế. Mặc dù từ chối thực hiện cuộc tấn công hoàn toàn nhưng nó đã xác định thành công một lỗ hổng và giải thích cách khai thác nó trong số 50 trang web thử nghiệm được chọn ngẫu nhiên.

Khai thác lỗ hổng ngày đầu tiên bằng các mô hình ngôn ngữ lớn

Nghiên cứu này điều tra tính khả thi của việc sử dụng các mô hình ngôn ngữ lớn (LLM) để khai thác các lỗ hổng ngày một, còn được gọi là lỗ hổng zero-day. Đây là những lỗi bảo mật đã được tiết lộ công khai thông qua các nguồn như CVE (Các lỗ hổng và phơi nhiễm phổ biến), nhưng chưa có bản vá hoặc bản cập nhật nào được phát hành để giải quyết vấn đề. Điều này làm tăng khả năng tồn tại một đường dẫn có thể khai thác được, mặc dù nó vẫn chưa được sử dụng.

Đáng chú ý, mặc dù những lỗ hổng này đã được công chúng biết đến nhưng không có gì đảm bảo rằng các công cụ hiện có có thể tự động phát hiện ra chúng. Ví dụ: những kẻ tấn công hoặc người kiểm tra thâm nhập không có quyền truy cập vào chi tiết hệ thống nội bộ có thể không biết phiên bản phần mềm đang được sử dụng khi khai thác.

Do tính phức tạp của nhiều lỗ hổng ban đầu thường thấy trong các hệ thống đóng khiến không thể tái tạo chúng, các nhà nghiên cứu đã tập trung vào các lỗ hổng trong phần mềm nguồn mở.

Trong nghiên cứu này, các nhà nghiên cứu đã chọn 15 lỗ hổng bảo mật bao gồm các lỗ hổng ứng dụng web, lỗ hổng phần mềm quản lý vùng chứa và lỗ hổng gói Python. Chúng bao gồm sự kết hợp của các lỗ hổng có rủi ro cao và rủi ro thấp được phát hiện sau ngày hết hạn thu thập thông tin để thử nghiệm LLM.

Các lỗ hổng cụ thể được sử dụng trong thử nghiệm này là:

Các đặc vụ đã bắt chước những người được tuyển dụng trong các vụ vi phạm trang web, nhưng có một chút khác biệt. Thay vì nhắm mục tiêu vào các tài liệu nhạy cảm, họ đưa ra các mô tả chi tiết về các lỗ hổng và nguy cơ phơi nhiễm phổ biến (CVE), cùng với các kịch bản khai thác thực tế để tận dụng các lỗ hổng ngay từ ngày đầu tiên.

Để đánh giá khả năng của các mô hình ngôn ngữ (LLM) trong việc khai thác lỗ hổng, các nhà nghiên cứu đã tận dụng 10 LLM quy mô lớn, bao gồm GPT-4 và 8 lựa chọn thay thế nguồn mở, cũng như hai công cụ tự động: Zed Attack Proxy (ZAP), được phát triển bởi OWASP và Metasploit, một framework được tạo bởi Rapid7.

Nghiên cứu này tiết lộ rằng GPT-4 có khả năng khai thác 87% lỗ hổng, trong khi các LLM khác không thể làm được điều đó. Đáng chú ý, GPT-4 chỉ thất bại với 2 lỗ hổng cụ thể là Iris XSS và Hertzbeat RCE.

Nền tảng web Iris, được sử dụng cho công việc cộng tác trong các cuộc điều tra ứng phó sự cố, đã chứng tỏ là thách thức đối với tác nhân LLM do nó phụ thuộc vào điều hướng JavaScript. Điều này khiến tác nhân không thể truy cập vào các biểu mẫu và nút quan trọng hoặc tương tác với các phần tử mong muốn – một nhiệm vụ mà con người có thể hoàn thành thành công.

Điều tra sâu hơn cho thấy GPT-4 gặp khó khăn trong việc dịch các chi tiết Hertzbeat, vốn chỉ có bằng tiếng Trung, do ngôn ngữ truy vấn dựa trên tiếng Anh. Do đó, nó gặp khó khăn trong việc tái tạo lỗ hổng.

Các phát hiện cũng nhấn mạnh tầm quan trọng của mô tả CVE đối với tỷ lệ thành công của LLM. Nếu không có những mô tả này, tỷ lệ thành công giảm đáng kể từ 87% xuống 7%. Điều này cho thấy rằng các tác nhân LLM hiện yêu cầu hướng dẫn chi tiết để phát triển các kế hoạch khai thác các lỗ hổng và chưa có khả năng tạo các kế hoạch đó một cách độc lập. Tuy nhiên, đây chỉ là sự khởi đầu và những tiến bộ trong tương lai có thể làm thay đổi cục diện này.

Kết luận

Nghiên cứu đã chứng minh rằng các tác nhân LLM đã có khả năng tự động xâm nhập các trang web và khai thác một số lỗ hổng thực sự nhất định trong hệ thống máy tính (với phần lớn chúng có thể bị khai thác kèm theo mô tả cách khai thác).

May mắn thay, các tác nhân hiện tại không thể khai thác các lỗ hổng chưa xác định và chưa được tiết lộ, cũng như các giải pháp nguồn mở không thể chứng minh kết quả có thể so sánh với ChatGPT4 trả phí (và GPT4o mới). Tuy nhiên, có thể các tiện ích mở rộng trong tương lai có thể cho phép khai thác các lỗ hổng như vậy, với các mô hình LLM truy cập miễn phí có khả năng tái tạo thành công của các mô hình độc quyền của chúng.

Tất cả điều này cho thấy rằng các nhà phát triển mô hình ngôn ngữ lớn phải tiếp cận quá trình đào tạo một cách có trách nhiệm hơn. Hơn nữa, các chuyên gia an ninh mạng cần phải chuẩn bị cho thực tế là những mô hình này sẽ được sử dụng để tạo ra các bot quét hệ thống để tìm lỗ hổng một cách có hệ thống.

Ngay cả các mô hình nguồn mở cũng có thể tuyên bố rằng chúng sẽ không được sử dụng cho các hoạt động bất hợp pháp (Llama 3 thẳng thừng từ chối giúp vi phạm một trang web). Tuy nhiên, chính nhờ sự cởi mở mà không có trở ngại nào ngoài những cân nhắc về mặt đạo đức ngăn cản việc tạo ra các mô hình “không kiểm duyệt”.

Có nhiều cách để thuyết phục LLM hỗ trợ vi phạm, ngay cả khi ban đầu họ phản đối. Ví dụ: người ta có thể yêu cầu nó trở thành người pentester và giúp cải thiện bảo mật trang web bằng cách thực hiện một "hành động tốt".

Thuê máy chủ GPU với khả năng triển khai ngay lập tức hoặc một máy chủ có cấu hình tùy chỉnh với thẻ NVIDIA Tesla A100 / H100 80Gb hoặc A5000 / A4000 cấp chuyên nghiệp. Máy chủ GPU có thẻ trò chơi RTX4090 cũng có sẵn.