GPT-4可实现自主入侵零日安全漏洞 成功率高达53%

2024年06月09日 14:33 次阅读 稿源:cnBeta.COM 条评论

研究人员利用自主的 GPT-4 机器人团队成功入侵了半数以上的测试网站,这些机器人协调工作并随意生成新的机器人。而且,这还是利用了以前未知的、现实世界中的"零日"漏洞。

0 ILUsKdf3zReT_AJx.png

几个月前,一个研究团队发布了一篇论文,称他们已经能够使用 GPT-4 自主入侵一日(或 N 日)漏洞--这些漏洞是已知的安全漏洞,但尚未发布修复程序。如果给出常见漏洞和暴露(CVE)列表,GPT-4 能够自行利用 87% 的临界严重性 CVE。

转眼到了本周,同一组研究人员发布了一篇后续论文,称他们已经能够利用一组自主、自传播的大型语言模型(LLM)代理,采用任务特定代理的分层规划(HPTSA)方法,入侵零日漏洞(尚未被发现的漏洞)。

0 gIVdRP4PpODEIaEL.png

1 3909AM1rSktYw5IpP_vc5Q.png

0 NaPCDOm_iLN1RUaO.png

HPTSA 使用一个"规划代理"来监督整个过程,并启动多个"子代理"来完成特定任务,而不是指派一个 LLM 代理来解决许多复杂的任务。规划代理与管理代理之间的关系就像老板与下属之间的关系一样,规划代理负责协调管理代理的工作,而管理代理则负责分派每个"专家子代理"的所有工作,从而减轻了单个代理在其可能难以完成的任务上的负担。

这种技术与Cognition Labs 的 Devin 人工智能软件开发团队所使用的技术类似;它规划出一项工作,找出需要哪些类型的员工,然后通过项目管理完成工作,同时根据需要催生自己的专业"员工"来处理任务。

x5.pngx2.png

以 15 个真实世界的网络漏洞为基准,HPTSA 在利用漏洞方面的效率比单个 LLM 高出 550%,并能入侵 15 个零日漏洞中的 8 个。而单个 LLM 只能入侵 15 个漏洞中的 3 个。

0 9dmZnys0TJBJhpyF.png0 9f7Yra7Be4aS3t_m.png

黑帽还是白帽?人们有理由担心,这些模式会让用户恶意攻击网站和网络。不过,研究人员之一、白皮书作者丹尼尔-康(Daniel Kang)特别指出,在聊天机器人模式下,GPT-4"不足以理解 LLM 的能力",无法独立入侵任何设施,这至少是个好消息。

当我们询问 ChatGPT 能否可以利用零日漏洞时,它通常会回答说:"不,我没有能力利用零日漏洞。我的目的是在道德和法律范围内提供信息和帮助",并建议咨询网络安全专业人士。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

GPT-4可实现自主入侵零日安全漏洞 成功率高达53%

1 (33%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      招聘

      created by ceallan