Les grands modèles de langage (LLM), comme le célèbre GPT-4 d’OpenAI, font des prouesses en termes de génération de texte, de code et de résolution de problèmes. Perso, je ne peux plus m’en passer, surtout quand je code. Mais ces avancées spectaculaires de l’IA pourraient avoir un côté obscur : la capacité à exploiter des vulnérabilités critiques.

C’est ce que révèle une étude de chercheurs de l’Université d’Illinois à Urbana-Champaign, qui ont collecté un ensemble de 15 vulnérabilités 0day bien réelles, certaines classées comme critiques dans la base de données CVE et le constat est sans appel. Lorsqu’on lui fournit la description CVE, GPT-4 parvient à concevoir des attaques fonctionnelles pour 87% de ces failles ! En comparaison, GPT-3.5, les modèles open source (OpenHermes-2.5-Mistral-7B, Llama-2 Chat…) et même les scanners de vulnérabilités comme ZAP ou Metasploit échouent lamentablement avec un taux de 0%.

Heureusement, sans la description CVE, les performances de GPT-4 chutent à 7% de réussite. Il est donc bien meilleur pour exploiter des failles connues que pour les débusquer lui-même. Ouf !

Mais quand même, ça fait froid dans le dos… Imaginez ce qu’on pourrait faire avec un agent IA qui serait capable de se balader sur la toile pour mener des attaques complexes de manière autonome. Accès root à des serveurs, exécution de code arbitraire à distance, exfiltration de données confidentielles… Tout devient possible et à portée de n’importe quel script kiddie un peu motivé.

Et le pire, c’est que c’est déjà rentable puisque les chercheurs estiment qu’utiliser un agent LLM pour exploiter des failles coûterait 2,8 fois moins cher que de la main-d’œuvre cyber-criminelle. Sans parler de la scalabilité de ce type d’attaques par rapport à des humains qui ont des limites.

Alors concrètement, qu’est ce qu’on peut faire contre ça ? Et bien, rien de nouveau, c’est comme d’hab, à savoir :

• Patcher encore plus vite les vulnérabilités critiques, en priorité les « 0day » qui menacent les systèmes en prod
• Monitorer en continu l’émergence de nouvelles vulnérabilités et signatures d’attaques
• Mettre en place des mécanismes de détection et réponse aux incidents basés sur l’IA pour contrer le feu par le feu
• Sensibiliser les utilisateurs aux risques et aux bonnes pratiques de « cyber-hygiène »
• Repenser l’architecture de sécurité en adoptant une approche « zero trust » et en segmentant au maximum
• Investir dans la recherche et le développement en cybersécurité pour garder un coup d’avance

Les fournisseurs de LLM comme OpenAI ont aussi un rôle à jouer en mettant en place des garde-fous et des mécanismes de contrôle stricts sur leurs modèles. La bonne nouvelle, c’est que les auteurs de l’étude les ont avertis et ces derniers ont demandé de ne pas rendre publics les prompts utilisés dans l’étude, au moins le temps qu’ils « corrigent » leur IA.

Source

Vous en avez entendu parler, peut-être même que vous l’avez déjà testé, mais cette news devrait quand même vous intéresser si vous faites partie des chanceux qui ont accès à Copilot, l’assistant IA de Microsoft. Car hier, la firme de Redmond a annoncé une sacrée mise à jour pour son chatbot intégré à Windows 11. En effet, d’après cette news parue sur Neowin.net, Microsoft vient de booster les performances de Copilot en y intégrant le tout dernier modèle de langage GPT-4 Turbo développé par OpenAI.

Auparavant, pour pouvoir utiliser GPT-4 Turbo dans Copilot, il fallait souscrire à l’abonnement Copilot Pro à 20$ par mois. Pas donné quand même. Mais bonne nouvelle, Mikhail Parakhin, le grand chef de la pub et des services web chez Microsoft, a annoncé sur son compte X (ex-Twitter) que GPT-4 Turbo était désormais disponible gratuitement pour tous les utilisateurs de Copilot, après pas mal de boulot apparemment.

On va tous pouvoir en profiter !

Pour rappel, GPT-4 Turbo c’est le dernier cri en matière de modèle de langage IA. Il a été dévoilé par OpenAI en novembre dernier et il permet notamment de traiter des prompts beaucoup plus longs, jusqu’à 300 pages, grâce à une fenêtre de contexte élargie à 128 000 tokens (128L). Autant dire que ça ouvre pas mal de possibilités pour les utilisateurs.

Microsoft avait promis d’intégrer le support de GPT-4 Turbo en décembre, mais jusqu’à présent c’était réservé aux abonnés Copilot Pro. Ceux-ci pourront d’ailleurs toujours choisir d’utiliser l’ancien modèle GPT-4 s’ils le préfèrent, via une option dans les paramètres.

En parlant de Copilot Pro, Microsoft a aussi annoncé cette semaine que les abonnés pouvaient maintenant accéder à Copilot GPT Builder, un nouvel outil permettant de créer ses propres chatbots personnalisés sans aucune connaissance en programmation. Plutôt balèze. Et le top, c’est que ces chatbots pourront ensuite être partagés avec n’importe qui, même ceux qui n’ont pas Copilot Pro.

Bref, vous l’aurez compris, ça bouge pas mal du côté de Copilot en ce moment. Et visiblement, ce n’est pas fini. Selon une fuite repérée dans des documents promotionnels de Samsung, de nouvelles fonctionnalités devraient bientôt arriver, notamment une meilleure intégration entre Copilot et l’app Phone Link de Microsoft pour les smartphones Galaxy.

Alors perso, j’ai hâte de tester tout ça. Déjà que Copilot était plutôt impressionnant, avec GPT-4 Turbo ça promet de nouvelles possibilités assez dingues. Et puis le fait que ce soit désormais gratuit pour tous les utilisateurs, c’est quand même un sacré argument. Pas besoin d’être un pro ou de casquer tous les mois pour avoir accès au top de l’IA conversationnelle.

Si vous contribuez à des projets open source sur Github, Gitlab ou encore Bitbucket et que vous devez vous palucher tous les jours des tonnes d’issues, de questions et des pull requests, voici un outil propulsé avec de l’IA qui devrait bien vous rendre service.

Cet outil c’est PR-Agent et c’est développé par CodiumAI. Il s’agit d’un agent IA utilisant GPT-4 capable de vous soulager en générant des descriptions de pull request claires et concises de manière automatique, de faire de la revue automatique de code, ou tout simplement répondre aux questions que les gens posent et reposent sans cesse.

PR-Agent est également capable, un peu à la manière d’un Github Copilot, de faire des suggestions pour améliorer le code qui se trouve sur votre dépôt, et bien sûr d’écrire les commits si besoin.

Pour cela, une fois que PR-Agent est lancé, il suffit d’employer les commandes suivantes :

• Description automatique (/describe) : Génère automatiquement une description du PR (Pull Request) – titre, type, résumé, description du code et étiquettes.
• Auto Review (/review) : Feedback ajustable sur le thème principal du PR, son type, les tests pertinents, les problèmes de sécurité, le score, et diverses suggestions pour le contenu du PR.

• Réponse aux questions (/ask …) : Réponse à des questions en texte libre sur le PR.
• Suggestions de code (/improve) : Suggestions de code committable pour améliorer le PR.
• Mise à jour du Changelog (/update_changelog) : Mise à jour automatique du fichier CHANGELOG.md avec les changements du PR.
• Trouver un problème similaire (/similar_issue) : Récupère et présente automatiquement les problèmes similaires.
• Ajouter de la documentation (/add_docs) : Ajoute automatiquement de la documentation aux fonctions/classes non documentées dans le PR.
• Générer des étiquettes personnalisées (/generate_labels) : Suggère automatiquement des étiquettes personnalisées basées sur les changements de code du PR.

Bref, gros, gros gain de temps. Si vous voulez le tester avant de le déployer sur vos dépôts, c’est possible sur le dépôt public de Codium AI en appelant l’agent comme ceci : @CodiumAI-Agent /COMMAND

À vous de jouer maintenant !

PR Agent est disponible ici et ça peut s’installer directement via Docker.