Forscher des Cispa Helmholtz-Zentrums für Informationssicherheit in Saarbrücken haben mit "Yurascanner" ein auf grossen KI-basierten Sprachmodellen basierendes Werkzeug für Web-Anwendungen entwickelt, das Tasks und Workflows selbstständig erkennt und ausführt.
Den Experten nach kann das Tool Tasks auf kohärente Weise bearbeiten und so die korrekte Abfolge von Arbeitsschritten ausführen, wie sie beispielsweise ein Online-Shop erfordert. Getestet haben die Forscher Yurascanner auf 20 Web-Anwendungen und dabei zwölf bislang unbekannte Cross-Site-Scripting-Schwachstellen aufgedeckt.
Die wichtigste Neuerung des Tools ist laut Cispa-Entwickler Aleksei Stafeev die Anbindung der sogenannten Crawler-Komponente an ein grosses KI-Sprachmodell, um die Reichweite und Leistung des Crawlers zu erhöhen. Für ihre Studie haben die Experten die OpenAI-API genutzt, um die Verbindung zwischen SWE Crawler-Komponente und GPT-4 herzustellen.
Das Angriffsmodul des Yurascanners ist identisch mit dem des Cross-Site-Scripting-Scanners "Black Widow". Dieses parallele Setup ermöglichte es, die Leistung der Crawler-Komponenten von Yurascanner und Black Widow miteinander zu vergleichen. Yurascanner entdeckte bei 20 Web-Anwendungen zwölf bisher unbekannte XSS-Schwachstellen, Black Widow lediglich drei.
Der Online-Stellenmarkt für ICT Professionals