Echo

Echo 关注TA

大家好,我是Echo!

Echo

Echo

关注TA

大家好,我是Echo!

  •  普罗旺斯
  • 自由职业
  • 写了309,546,688字

该文章投稿至Nemo社区   资讯  板块 复制链接


成功率达 53%,研究显示 GPT-4 可自主利用“零日”漏洞攻破网站

发布于 2024/06/09 13:09 124浏览 0回复 935

IT之家 6 月 9 日消息,据 NewAtlas 报道,研究人员利用自主协作的 GPT-4 机器人小组成功入侵了一半以上的测试网站,这些机器人可以自主协调行动并根据需要生成新的“帮手”。更令人吃惊的是,他们利用的是以前未知的、现实世界中从未公开的“零日”漏洞(zero-day vulnerabilities)。

图源 Pexels

早在几个月前,同一批研究人员就发表了一篇论文,声称他们能够使用 GPT-4 自动利用“N day”漏洞,即业界已知但尚未修复的漏洞。实验中,GPT-4 仅凭已知的常见漏洞和披露列表 (CVE),就能自主利用其中 87% 的严重级别漏洞。

本周,这支研究团队发布了后续论文,称他们已经攻克了“零日”漏洞,也就是那些尚未被发现的漏洞。他们使用了一种名为 “任务特定智能体分层规划”(HPTSA) 的方法,让一群自主传播的大型语言模型 (LLM) 协同作战。

IT之家注意到,与以往由单个 LLM 尝试解决所有复杂任务不同,HPTSA 方法采用了“规划智能体” 负责整个过程的监督,并派生多个用于特定任务的“子智能体”。就像老板和下属一样,规划智能体负责协调管理,将任务分配给各个“专家子智能体”,这种分工方式减轻了单个智能体在难以攻克的任务上的负担。

在针对 15 个真实网络漏洞的测试中,HPTSA 在利用漏洞方面比单个 LLM 的效率高出 550%,并且成功利用了其中的 8 个零日漏洞,成功率达 53%,而单打独斗的 LLM 只利用了 3 个漏洞。

研究人员之一、白皮书作者丹尼尔・康 (Daniel Kang) 特别指出,人们担心这些模型会被恶意用于攻击网站和网络,这的确是合理担忧。但他同时强调,聊天机器人模式下的 GPT-4“不足以理解 LLM 的能力”,本身无法进行任何攻击。

当 NewAtlas 的编辑询问 ChatGPT 它是否能利用零日漏洞时,它回答说:“不,我不能利用零日漏洞。我的目的是在道德和法律框架内提供信息和帮助。”并建议其咨询网络安全专业人士。

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。


本文由LinkNemo爬虫[Echo]采集自[https://www.ithome.com/0/774/128.htm]

本文标签
 {{tag}}
点了个评