Die rapide Verbreitung und wachsende Nutzung von ChatGPT und anderen Large Language Models (LLMs) hat in den letzten Jahren die Cybersicherheit in den Fokus gerückt. Eine zentrale Frage für uns Experten war stets, wie effektiv diese Tools bei der Durchführung von Angriffen sein könnten. Eine aktuelle Studie von Richard Fang, Rohan Bindu, Akul Gupta und Daniel Kang liefert dazu eine alarmierende Antwort.
ChatGPT 4 als Meister der Schwachstellen-Ausnutzung
In ihrer Untersuchung testeten die Forscher 15 reale sogenannte One-Day-Vulnerabilities – also bekannte Schwachstellen, für die noch kein Patch existiert. Die Bandbreite reichte von Websites über Container-Management-Software bis hin zu Python-Paketen. Beeindruckenderweise gelang es ChatGPT 4, 87% dieser Schwachstellen erfolgreich auszunutzen. Andere getestete Methoden, darunter diverse LLMs und Open-Source-Schwachstellen-Scanner, blieben hingegen erfolglos. Selbst GPT-3.5 konnte keine einzige Schwachstelle aufdecken.
Die Crux mit dem CVE-Code
Interessanterweise zeigte sich auch eine deutliche Einschränkung von ChatGPT: Fehlte der CVE-Code – also die eindeutige Kennzeichnung einer Schwachstelle – sank die Erfolgsquote dramatisch auf 7%. Dieser massive Einbruch verdeutlicht, dass die Identifikation einer Schwachstelle ungleich schwieriger ist als ihre Ausnutzung.
Ausblick: Ein zweischneidiges Schwert
Die Studie zeigt klar, dass LLMs wie ChatGPT 4 das Potenzial haben, autonom Schwachstellen auszunutzen. Dies könnte in Zukunft zu einem mächtigen Werkzeug für Cyberkriminelle werden. Gleichzeitig unterstreicht die Forschung die Notwendigkeit, LLMs auch in der Abwehr von Cyberangriffen einzusetzen. Es liegt an uns Experten, diese Technologien verantwortungsvoll weiterzuentwickeln und gleichzeitig wirksame Schutzmechanismen zu etablieren.