导读 根据研究人员的最新发现,像ChatGPT这样的法学硕士可能就是下一个网络安全隐患。以前人们认为法学硕士只能利用较简单的网络安全漏洞,但如
根据研究人员的最新发现,像ChatGPT这样的法学硕士可能就是下一个网络安全隐患。以前人们认为法学硕士只能利用较简单的网络安全漏洞,但如今,法学硕士在利用复杂漏洞方面也表现出了惊人的熟练程度。
诺伊大学厄巴纳-香槟分校(UIUC)的研究人员发现,GPT-4在利用现实系统中的“一日”漏洞方面表现出惊人的高超能力。在15个此类漏洞的数据集中,GPT-4能够利用其中令人震惊的87%的漏洞。
这与其他语言模型(如GPT-3.5、OpenHermes-2.5-Mistral-7B和Llama-2Chat(70B))以及漏洞扫描程序(如ZAP和Metasploit)形成了鲜明对比,它们的成功率均为0%。
但需要注意的是,为了实现如此高的性能,GPT-4需要CVE数据库中的漏洞描述。如果没有CVE描述,GPT-4的成功率将急剧下降至仅7%。
尽管如此,这一最新发现还是引发了人们对此类高能力LLM特工不受限制地部署以及它们对未打补丁的系统构成的威胁的担忧。虽然早期的研究表明它们能够充当软件工程师并协助科学发现,但人们对它们在网络安全方面的潜在能力或影响知之甚少。
尽管LLM代理自主入侵“玩具网站”的能力得到承认,但到目前为止,该领域的所有研究都集中在玩具问题或“夺旗”练习上,本质上是远离现实世界部署的场景。
您可以在康奈尔大学的预印本服务器arXiv上阅读UIUC研究人员发表的论文。