GPT-4 peut hacker des sites web en totale autonomie 

GPT-4, le dernier modèle de langage multimodal d'OpenAI peut hacker des sites web en totale autonomie
OpenAI © kovop

Des scientifiques américains ont testé les capacités de hacking de plusieurs intelligences artificielles dont GPT-4. Sans surprise, le dernier modèle d’OpenAI a écrasé la concurrence, capable de commettre ces hacks en autonomie. Des résultats qui pourraient changer notre rapport à la cybersécurité. 

Le hacking pour tous, bientôt une réalité ? Les derniers résultats d’une équipe de chercheurs de l’université d’Illinois indiquent que les intelligences artificielles peuvent désormais pirater des sites internet sans supervision humaine. En s’inspirant de précédentes études qui avaient établi que les IA étaient parfaitement capables de générer des malwares (virus et autres logiciels malveillants), Daniel Kang et ses collègues ont décidé de pousser l’expérience et de voir si les modèles de langage multimodal actuels comme GPT-4 étaient capables d’aller plus loin. 

Échec des modèles en accès libre

Les scientifiques ont réuni dix modèles de langage différents dont les deux derniers d’OpenAI GPT-4 et GPT-3.5 ainsi que des modèles en open source comme le Llama de Meta ou le Mixtral-8x7B Instruct de la licorne française Mistral. Ils les ont ensuite modifiés avec 85 lignes de code pour les faire interagir avec des navigateurs web et lire des documents. Les dix modèles ont ensuite dû faire face à quinze tests de piratage, graduellement de plus en plus difficiles, afin d’évaluer leurs performances. Étonnamment, tous les modèles en libre accès ont échoué, tandis que GPT-3.5 n’en réussissait péniblement qu’un seul, soit un taux de réussite de 6,7%. Pendant ce temps-là, GPT-4 caracolait sans difficulté en tête du classement et réussissait onze des quinze épreuves, pour un score final impressionnant de 73,3%. 

Améliorer les capacités de cybersécurité

Parmi la liste des modèles sur la ligne de départ, seul GPT-4 est parvenu à faire des injections SQL (un processus complexe de 38 tâches afin d’insérer des données erronées) ou du cross-site scripting (l’insertion de données malveillantes). Mais si la victoire d’une seule des IA pourrait laisser penser que l’expérience n’est pas concluante, les scientifiques affirment le contraire. En effet, non seulement GPT-4 a réussi presque tous les tests mais n’a jamais eu besoin d’être averti du niveau de difficulté de chaque épreuve et a pu identifier en autonomie totale les degrés de sécurité auxquels il faisait face. Une prouesse.

Pour ne pas semer la panique en publiant ces résultats, Daniel Kang a assuré n’avoir effectué ces tests que dans un bac à sable, garantissant ainsi la protection des données personnelles des sites visés. L’étude précise cependant que GPT-4 a pu s’exercer sur des sites réels – choisis spécifiquement en raison de leur sécurité avérée – et a pu détecter…des failles de sécurité. Pour les scientifiques américains, c’est là que réside l’intérêt de l’étude : l’amélioration des mesures de cybersécurité grâce à l’IA, et non la démocratisation rapide des techniques de hacking.  

Huit fois moins cher qu’un informaticien

Les chercheurs ont donc essayé de quantifier les avantages économiques que l’utilisation de l’IA pourrait apporter à une entreprise cherchant à sécuriser son site web. Selon leurs calculs, GPT-4 coûterait approximativement $9,81 par site internet soit huit fois moins que les $80  d’un informaticien spécialisé. 

Daniel Kang et ses collègues espèrent que les résultats de leur étude seront entendus par les entreprises de la tech’ afin d’intégrer ces possibilités dans la conception des futures versions de leurs modèles. Sous peine de voir surgir des dizaines d’intelligences artificielles conçues pour surfer et pirater en toute liberté.