كيف تمكن باحثون من استخدام تشات جي بي تي لشن الهجمات السيبرانية؟

مع تطور بوتات الدردشة المدعومة بالذكاء الاصطناعي أصبحت مسألة التهديدات السيبرانية أسهل من أي وقت مضى، إذ تمكن فريق من العلماء في جامعة إيلينوي أوربانا شامبين (UIUC) الأميركية من استخدام إصدار بوت الدردشة تشات جي بي تي 4 (Chat GPT 4) لاختبار تنفيذ هجمات على الأنظمة ومواقع الويب بمجرد إعطائها وصفاً للثغرات الأمنية المستهدفة، ما يمثل نقلة نوعية في مشهد الأمن الرقمي.

تشات جي بي تي 4 قادر على استغلال الثغرات الأمنية

وفقاً للدراسة الجديدة التي أجراها أربعة من باحثي جامعة إلينوي أوربانا شامبين، ونُشرت في منصة إميرجينغ تكنولوجي من آركايف (Emerging Technology from the arXiv) تمكن بوت الدردشة تشات جي بي تي 4 من استغلال نقاط ثغراتة “اليوم واحد” لشن هجمات على الأنظمة والخدمات الرقمية على نحو مستقل، بينما لم تتمكن الإصدارات السابقة من تشات جي بي تي وماسحات الثغرات الأمنية من ذلك.

جدير بالذكر أن “ثغرة اليوم واحد” (One-Day Vulnerability) أو ما يُطلق عليه أيضاً اسم إن – داي (N-Day) هي ثغرة أمنية كُشف عنها علناً ويتوفر لها تصحيح أمني ولكن لم يطبق بعد، أو لم تصححها فرق تكنولوجيا المعلومات في الشركات، ما يجعلها مفتوحة ومعرضة لاستغلال مجرمي الإنترنت لها.

تمكن جي بي تي 4 من تحقيق نسبة نجاح وصلت إلى 87% في استغلال نقاط الضعف لشن هجماته الإلكترونية بمجرد إعطائه وصفاً لمواقع الخلل في الثغرة الأمنية المطلوب اختراقها، وقد أظهرت النتائج أن لديه قدرة هائلة على اكتشاف نقاط ضعف ثغرة اليوم واحد، التي لا تكشفها ماسحات الثغرات الأمنية (Vulnerability scanners)، واستغلالها على نحو مستقل.

كيف تمكن الباحثون من إعداد تشات جي بي تي 4 لشن الهجمات السيبرانية؟

جمع الباحثون أولاً مجموعة بيانات معيارية وصلت إلى 15 ثغرة أمنية من بعض الأوراق الأكاديمية وقاعدة بيانات سي في إي (CVE) التي توفر كتالوجاً مرجعياً للثغرات الأمنية التي كُشف عنها علناً، إذ تألفت الثغرات الأمنية المفتوحة المصدر والقابلة للتكرار من نقاط ضعف في مواقع الويب ونقاط ضعف في الحاويات وحزم بايثون الضعيفة وصُنف أكثر من نصفها عالي الخطورة أو حرجاً.

بعد ذلك طور الباحثون بوت دردشة مدعوماً بنموذج لغة كبير (وكيل ذكاء اصطناعي) استناداً إلى إطار أتمتة ري أكت (ReAct automation framework)، أي أنه يستطيع التفكير في الإجراء التالي وإنشاء أمر إجراء وتنفيذه باستخدام الأداة المناسبة والتكرار في حلقة تفاعلية. وقد كتب الباحثون 91 سطراً فقط من التعليمات البرمجية لإنشاء بوت الدردشة، ما يوضح مدى سهولة التنفيذ.

ثم جُهز بوت الدردشة بالأدوات اللازمة لاستغلال نقاط الضعف في الأنظمة المستهدفة على نحو مستقل، مثل عناصر تصفح الويب، ونتائج بحث الويب وقدرات إنشاء الملفات وتحريرها ومترجم التعليمات البرمجية، مع إعطائه إمكانية الوصول إلى أوصاف الثغرات الأمنية من قاعدة بيانات سي في إي لمحاكاة إعداد هجوم ثغرة اليوم الواحد.

بعد ذلك، زود الباحثون بوت الدردشة بتعليمات برمجية موجهة لتشجيعه على الإبداع والاستمرار في استكشاف طرق مختلفة لاستغلال الثغرات الـ 15، وتألفت هذه المطالبة من 1056 رمزاً فقط.

وأخيراً قاس الباحثون أداء بوت الدردشة بناءً على نجاحه في استغلال الثغرات الأمنية والتكلفة بالدولار للمسعى بناءً على عدد الرموز المميزة التي أُدخلت وأُخرجت وتكاليف واجهة برمجة تطبيقات شركة أوبن أيه آي.

بالإضافة إلى ذلك، كُررت التجربة بحيث لم يُزود بوت الدردشة بأوصاف للثغرات الأمنية لمحاكاة هجوم اليوم صفر الأصعب، وتعين على بوت الدردشة اكتشاف الثغرة الأمنية بنفسه ثم استغلالها.

وإلى جانب بوت الدردشة تشات جي بي تي 4، وُفرت تفاصيل الثغرات الأمنية نفسها لماسحات الثغرات الأمنية زد أيه بي (ZAP) وميتا سبلويت (Metasploit) وكلاهما شائع الاستخدام بين مختبري الاختراق، إذ أراد الباحثون مقارنة فعاليتها في تحديد نقاط الضعف واستغلالها مع بوت الدردشة المدعوم بالذكاء الاصطناعي.

ما مدى نجاح تشات جي بي تي 4 في اكتشاف الثغرات الأمنية واستغلالها على نحو مستقل؟

تواصل الباحثون مع شركة أوبن أيه آي قبل نشر تفاصيل التجربة، وطلبت الشركة منهم صراحة عدم الكشف عن التفاصيل الكاملة للجمهور. نتيجة لذلك حُجبت بعض التفاصيل، ولكن الباحثين قدموا النتائج الأربعة أدناه:

1. القدرة على استغلال نقاط ضعف اليوم الواحد على نحو مستقل

تمكن بوت الدردشة تشات جي بي تي 4 من استغلال نقاط ضعف اليوم واحد على مواقع الويب والتطبيقات على نحو مستقل حتى بالنسبة لنقاط الضعف خارج بيانات التدريب الخاصة به، ما يؤكد قدرته على التكيف والعمل باستقلالية.

فمن بين 15 ثغرة تمكن تشات جي بي تي 4 من استغلال 13 ثغرة بنجاح، بينما وجد صعوبة في استغلال ثغرتين فقط، الأولى لتعقيد واجهة برمجة التطبيقات في الموقع المستهدف، والثانية لأن الموقع كان باللغة الصينية بينما المعلومات التي قدمها الباحثون كانت باللغة الإنجليزية.

2. عدم القدرة على استغلال نقاط ضعف اليوم صفر على نحو مستقل

في حين أن بوت الدردشة حقق معدل نجاح كبيراً وصل إلى 87% في استغلال الثغرات بمجرد قراءة الوصف الخاص بها، فقد انخفض المعدل إلى 7% فقط عند حذف الوصف، ما يدل على أنه غير قادر حالياً على استغلال نقاط ضعف اليوم صفر وأنه أكثر قدرة على استغلال نقاط الضعف بدلاً من العثور عليها.

3. تكلفة استخدام تشات جي بي تي 4 لاستغلال نقاط الضعف أقل

حدد الباحثون متوسط تكلفة استغلال تشات جي بي تي 4 للثغرات الأمنية بنجاح بنحو 8.80 دولارات لكل ثغرة أمنية، وهو أقل تكلفة بكثير من أدوات مسح الثغرات الأمنية التي تُكلف نحو 25 دولاراً لكل نصف ساعة من التشغيل.

4. اتخاذ العديد من الإجراءات لاستغلال الثغرة الأمنية على نحو مستقل

وجد الباحثون أن بوت الدردشة اتخذ الكثير من الإجراءات لاستغلال عدد كبير من نقاط الضعف، وقد وصل عدد بعض الإجراءات إلى 100. بالإضافة إلى ذلك، كان هامش متوسط الإجراءات المتخذة قليلاً في الحالتين سواء قُدمت تفاصيل الثغرة الأمنية أو لم تقدم. ومع ذلك، لا يمكن لبوت الدردشة فعل الكثير من دون تقديم وصف للثغرة الأمنية له، لأنه لا يعرف المسار الذي ينبغي أن يسلكه.

لماذا اختبر الباحثون قدرات بوتات الدردشة في استغلال الثغرات الأمنية؟

أُجريت الدراسة لمعالجة الفجوة المعرفية فيما يتعلق بقدرة بوتات الدردشة المدعومة بنماذج اللغة الكبيرة على استغلال الثغرات الأمنية بنجاح في أنظمة الكمبيوتر دون تدخل بشري؛ فعندما تُكشف الثغرات علناً في قواعد البيانات مثل سي في إي، لا يتوفر وصف لطرق استغلالها، لذلك سعى الباحثون إلى تحديد جدوى أتمتة هذه العملية باستخدام نماذج اللغة الكبيرة الحالية.

يقول الباحثون إن معدل نجاح تشات جي بي تي 4 الملحوظ وقدرته على التكيف وفعاليته من حيث التكلفة هي دلائل تؤكد قدرته على إعادة تشكيل مشهد الأمن السيبراني، ومن ثم ينبغي على الشركات تبني تدابير أمنية استباقية ومشاركة المعلومات بشفافية من أجل تسخير قوة الحلول القائمة على الذكاء الاصطناعي بفعالية لحماية الأصول الرقمية من التهديدات السيبرانية المتطورة.