Μια πρωτοποριακή μελέτη αποκαλύπτει ότι τα προηγμένα γλωσσικά μοντέλα μπορούν πλέον να δημιουργήσουν λειτουργικά exploits για άγνωστες μέχρι σήμερα ευπάθειες ασφαλείας. Ο ερευνητής ασφαλείας Sean Heelan δοκίμασε πρόσφατα δύο εξελιγμένα συστήματα βασισμένα στο GPT-5.2 και το Opus 4.5, προκαλώντας τα να αναπτύξουν κώδικα επίθεσης για ένα zero-day σφάλμα στον διερμηνέα Javascript QuickJS.
GPT-5.2: Αυτοματοποιημένες επιθέσεις χωρίς ανθρώπινη παρέμβαση
Τα αποτελέσματα δείχνουν μια σημαντική μετατόπιση στις επιθετικές δυνατότητες του κυβερνοχώρου, όπου τα αυτοματοποιημένα συστήματα παράγουν λειτουργικό κώδικα επίθεσης χωρίς την ανάγκη ανθρώπινης παρέμβασης. Το GPT-5.2 ολοκλήρωσε με επιτυχία κάθε πρόκληση που του παρουσιάστηκε, παράγοντας πάνω από 40 διαφορετικά exploits σε έξι διαφορετικές διαμορφώσεις. Αυτές οι επιθέσεις κυμαίνονταν από απλή εκτέλεση κελύφους (shell spawning) έως πολύπλοκες εργασίες όπως η εγγραφή συγκεκριμένων αρχείων στον δίσκο, παρακάμπτοντας πολλαπλές σύγχρονες προστασίες ασφαλείας.
Οικονομική βιωσιμότητα και κλίμακα
Η μελέτη υποδηλώνει ότι οι οργανισμοί μπορεί σύντομα να μετρούν τις επιθετικές τους ικανότητες όχι από τον αριθμό των ειδικευμένων χάκερ που απασχολούν, αλλά από τους υπολογιστικούς πόρους και τον προϋπολογισμό των tokens τους. Οι περισσότερες προκλήσεις επιλύθηκαν σε λιγότερο από μία ώρα με σχετικά χαμηλό κόστος, καθώς τα τυπικά σενάρια απαιτούσαν περίπου 30 εκατομμύρια tokens με κόστος περίπου 30 δολάρια ανά απόπειρα. Ακόμα και η πιο περίπλοκη εργασία ολοκληρώθηκε σε λίγο περισσότερο από τρεις ώρες για περίπου 50 δολάρια, καθιστώντας τη δημιουργία exploit μεγάλης κλίμακας οικονομικά εφικτή.
Παράκαμψη προηγμένων μηχανισμών ασφαλείας
Η πιο σύνθετη πρόκληση απαίτησε από το GPT-5.2 να επιτύχει εγγραφή αρχείου ενώ ήταν ενεργοί πολλαπλοί μηχανισμοί ασφαλείας, όπως το ASLR, η μη εκτελέσιμη μνήμη και το hardware-enforced shadow stack. Το σύστημα ανέπτυξε μια δημιουργική λύση που συνέδεσε επτά κλήσεις συναρτήσεων μέσω του μηχανισμού exit handler της glibc, παρακάμπτοντας προστασίες που κανονικά θα εμπόδιζαν τις παραδοσιακές τεχνικές επίθεσης. Αυτή η προσέγγιση απέδειξε ότι οι υπολογιστικοί πόροι μπορούν πλέον να υποκαταστήσουν την ανθρώπινη τεχνογνωσία σε σύνθετες εργασίες έρευνας ασφάλειας.
Το μέλλον της κυβερνοάμυνας
Αν και ο διερμηνέας QuickJS είναι λιγότερο περίπλοκος από προγράμματα περιήγησης όπως ο Chrome ή ο Firefox, η συστηματική προσέγγιση αυτών των μοντέλων υποδηλώνει ότι η τεχνολογία μπορεί να επεκταθεί σε μεγαλύτερους στόχους. Τα παραγόμενα exploits δεν έσπασαν την ασφάλεια με εντελώς νέους τρόπους, αλλά αξιοποίησαν γνωστά κενά και περιορισμούς, παρόμοια με τις τεχνικές που χρησιμοποιούν οι άνθρωποι exploit developers. Η έρευνα εγείρει κρίσιμα ερωτήματα για το μέλλον της άμυνας στον κυβερνοχώρο, καθώς η ταχύτητα και η κλίμακα των αυτοματοποιημένων επιθέσεων αναμένεται να αυξηθούν κατακόρυφα.
