Kevään aikana Hackabi 4 –palkkio-ohjelmaan on tullut yli neljäkymmentä ehdotusta Abitti 2:n tietoturvahaavoittuvuuksista. Havainnoista näkee, että laajoja kielimalleja käytetään monella tavalla.

Joistakin ehdotuksista näkee, että havainto on tehty “klassisin välinein” eli tutkimalla sovelluksen toimintaa ja kohdistamalla siihen erilaisia toimenpiteitä. Kielimallia on käytetty raportin kirjoittamiseen. Lopputuloksena on jäsennelty ja koherentti kokonaisuus, joka on säästänyt hakkerin aikaa pilkkusääntöjen kanssa.

Muutamasta ehdotuksesta näkee, että LLM-agentille on heitetty koko Abitti 2 –sovellus ja ohjeistettu tätä etsimään haavoittuvuuksia. Tällä lähestymistavalla on saatu aikaan vaikuttava lista löydöksiä.

Ikävä kyllä agenttien käyttäjiltä on unohtunut se, että mallit ovat hyviä tuottamaan tekstiä silloinkin, kun todellisuuspohjaa ei ole. Viimeisimmässä löydösnipussa oli parikin listaa haavoittuvuuksista, joita ei todellisuudessa ole olemassa, eivätkä löydöksiä esittelevät skriptit tehneet yhtään mitään.

Kielimallit ovat selvästi päteviä välineitä aukkojen metsästyksessä. Ne voivat löytää haavoittuvuuksia itse tai antaa käyttäjälleen ideoita mahdollisista heikkouksista. Toivomme kuitenkin, että hakkerit kävisivät itse läpi apulaistensa ehdottamat löydökset ennen niistä raportoimista. Mitä täsmällisempi raportti, sitä nopeampaa sen läpikäynti on ja sitä nopeammin vastaus tulee!

Kuten vanha kalevalainen sanonta sanoo: Kielimalli on hyvä renki, mutta huono isäntä.