马德里,四月 25 日 (传送门/EP)-
一组研究人员发现 GPT-4 能够 识别安全漏洞 无需外部人工协助,此外,还可以通过了解常见漏洞和暴露 (CVE) 来利用零日漏洞。
伊利诺伊大学香槟分校(美国)的研究人员进行的一项研究表明,大型语言模型(LLM)已经 执行具有恶意目的的行动的巨大潜力 如果他们为此目的而被操纵。
在存储库中共享的一项研究中 ArxivRichard Fang、Rohan Bindu、Akil Gupta 和 Daniel Kang 承认,之前发表的研究表明这些模型能够自主入侵网站。 然而,他们澄清说,这些研究 “仅限于简单的漏洞。”
因此,这所大学的专家选择编译一个由 15 个漏洞组成的数据集,这些漏洞在漏洞列表中被归类为严重严重性和常见暴露,以展示由 GPT-4 驱动的代理如何针对它们采取行动。
根据他们的研究,该模型最先进的迭代能够自主地利用不同系统中的安全漏洞,也就是说,无需 依靠外部人力援助。
以至于 GPT-4 能够利用其中 87% 的漏洞,而 LLM GPT-3.5 在任何情况下都无法利用这些漏洞,而 LLM GPT-3.5 的扫描仪则无法利用这些漏洞。 ZAP 和 Metasploit 开源漏洞。
然而,他们一致认为这是可能的,因为这些缺陷有完整的 CVE 描述,GPT-4 利用了这些缺陷。 因此,如果没有这些附加信息,该模型只能利用 7% 的漏洞。
其中一位研究人员 Kang 表示,安全组织可以 避免发布详细报告 据报道,将漏洞作为一种缓解策略,以防止恶意代理利用它们 登记册。
然而,为了防止网络犯罪分子通过 GPT-4 利用“零日”漏洞,这位科学家主张采取更主动的安全措施,例如 定期安全包更新, 来应对这些威胁。
1714044199
#他们发现 #GPT4 #在了解 #CVE #详细信息后可以利用零日漏洞
2024-04-25 10:25:25
