GPT-4 可自主利用“零日”漏洞攻破网站 成功率达 53%

6月9日,NewAtlas报道了一项突破性研究,其中研究人员利用GPT-4驱动的自主协作机器人小组,成功渗透了超过一半的测试网站。令人震惊的是,这些机器人不仅能够自主协调行动,还能够根据需求生成新的“帮手”,利用的还是未公开的零日漏洞。

GPT-4 可自主利用“零日”漏洞攻破网站 成功率达 53%插图

早期研究回顾

数月前,这些研究人员已在一篇论文中展示了GPT-4的能力,它能够自动利用业界已知但未修复的“N day”漏洞。实验显示,GPT-4能够仅凭已知的CVE列表,自主利用87%的严重级别漏洞。

零日漏洞的新突破

本周,该团队发布了新的研究成果,宣布他们已经能够利用零日漏洞——那些尚未被世界所知的漏洞。他们采用了“任务特定智能体分层规划”(HPTSA)的方法,通过一群大型语言模型(LLM)的协同作战,实现了这一壮举。

HPTSA方法:智能体的协同与分工

与以往单个LLM尝试解决所有复杂任务的方式不同,HPTSA方法引入了“规划智能体”,它负责监督整个过程,并衍生出多个针对特定任务的“子智能体”。这种类似老板与下属的分工方式,有效地减轻了单个智能体在面对复杂任务时的负担。

实验结果:高效率与成功率

在对15个真实网络漏洞的测试中,HPTSA方法在利用漏洞方面的效率比单个LLM高出550%,成功率达到了53%,成功利用了8个零日漏洞,而单个LLM仅利用了3个。

道德与法律框架内的使用

研究人员之一丹尼尔・康(Daniel Kang)强调,虽然存在对这些模型被恶意使用的担忧,但GPT-4在聊天机器人模式下并不足以理解LLM的能力,本身无法进行攻击。当被NewAtlas编辑询问是否能利用零日漏洞时,GPT-4明确表示其不能利用零日漏洞,并强调其目的是在道德和法律框架内提供信息和帮助,同时建议咨询网络安全专业人士。

这项研究不仅展示了人工智能在网络安全领域的潜力,同时也提醒我们,随着技术的发展,必须确保其在正确的轨道上,用于正当和道德的目的。百度云防护等安全解决方案将继续在这一领域发挥关键作用,保护我们的数字世界免受侵害。

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。

给TA打赏
共{{data.count}}人
人已打赏
个人中心
购物车
优惠劵
搜索