Bu yılın başlarında, OpenAI'nin GPT-4 adlı yapay zeka ağı, internet üzerindeki zafiyet bilgilerini inceleyerek bu zafiyetler için saldırı senaryoları oluşturabildiği belirlendi. Şimdi ise araştırmacılar, GPT-4 tabanlı otonom bot gruplarını kullanarak test web sitelerinin yarısından fazlasını başarıyla hacklemeyi başardılar. Bu botlar, kendi çalışmalarını koordine ederek ve ihtiyaç duyulduğunda yeni botlar oluşturarak çalıştılar.
GPT-4'ün Sıfır Gün Zafiyetlerini Kullanma Yeteneği
Botlar, sıfır gün zafiyetleri için saldırı senaryoları oluşturarak çalıştılar. Bu zafiyetler daha önce bilinmiyordu. Araştırmacılar daha önce GPT-4'ü kullanarak henüz düzeltilmemiş bilinen zafiyetleri (CVE'ler) kullanmışlardı. Sonuç olarak, yapay zeka ağı, yüksek risk taşıyan ve kritik öneme sahip CVE'lerin %87'si için saldırı senaryoları oluşturmayı başardı. Illinois Üniversitesi, Urbana-Champaign'deki aynı araştırmacılar, botların sıfır gün zafiyetlerini kullanarak test sitelerini hacklemeye çalıştığı yeni bir çalışmanın sonuçlarını yayınladılar.
Grup Tabanlı Bot Stratejisi
Araştırmacılar, tek bir botu kullanmak yerine büyük bir dil modeli (LLM) tabanlı otonom, kendi kendine yayılan ajan grubunu tercih ettiler. Ajanlar, hiyerarşik planlama yöntemini kullandılar ve farklı görevler için farklı ajanlar atadılar. Bu çalışmada, "planlama ajanı" adı verilen bir ana ajan, tüm işlemleri yönetiyor ve belirli görevleri yerine getirmek için birden fazla "alt ajanı" başlatıyordu. Bu yaklaşım, bir patronun astlarla etkileşimi gibi düşünülebilir ve görev yükünü dengeli bir şekilde dağıtıyordu.
Grup Botları ile Verimlilik Karşılaştırması
Araştırmacılar, bir grup botun 15 gerçek zafiyetle nasıl etkileşime geçtiğini karşılaştırdılar. Hiyerarşik planlama yönteminin, ağ tabanlı bir botun aynı zafiyetlerle nasıl çalıştığına kıyasla %550 daha etkili olduğu ortaya çıktı. Grup botu, 15 zafiyetten 8'ini etkinleştirebilirken, tek başına bir bot sadece üç zafiyet için saldırı senaryosu oluşturabildi.
Bu araştırma, yapay zeka destekli saldırıların potansiyelini ve savunma stratejilerinin önemini vurguluyor. Sizce bu tür bot tabanlı saldırılarla mücadele etmek için hangi önlemler alınmalı? Görüşlerinizi paylaşmayı unutmayın!
