发布时间:2024-06-13 15:07:41 栏目:科技
安全专家警告称,未来的渗透测试和漏洞搜寻很可能不是由人工智能主导,而是多个人工智能共同主导。
伊利诺伊大学厄巴纳-香槟分校(UIUC)的研究人员发现,一组大型语言模型(LLM)的表现优于单一AI使用,并且明显优于ZAP和MetaSploit软件。
“尽管单个AI代理非常强大,但它们受到现有LLM功能的限制。例如,如果AI代理沿着一条路径前进(例如,试图利用XSS),则代理很难回溯并尝试利用另一个漏洞,”研究员DanielKang指出,“此外,LLM在专注于单一任务时表现最佳。”
有效的系统
人工智能寻找漏洞的缺点同时也是其最大的优势——一旦它走上一条路线,就无法回溯并走另一条路线。当它专注于一项任务时,它的表现也最好。
因此,该团队设计了一个名为“分层规划和特定任务代理”(HPTSA)的系统,该系统由一个规划器、一个管理器和多个代理组成。在这个系统中,规划器会调查应用程序(或网站),尝试确定要探索哪些漏洞,然后将它们分配给管理器。然后,管理器将不同的途径委托给不同的代理LLM。
虽然该系统听起来很复杂,但在实践中已被证明非常有效。在实验中测试的15个漏洞中,HPTSA利用了其中的8个。单个GPT-4代理仅利用了3个,这意味着HPTSA的效率是GPT-4的两倍多。相比之下,ZAP和MetaSploit软件无法利用任何漏洞。
曾经有一个实例,单个GPT-4代理的表现优于HPTSA,那就是当它在提示中给出漏洞描述时。这样,它就成功利用了15个漏洞中的11个。然而,这要求研究人员精心设计提示,许多人可能无法模仿。
免责声明:本文由用户上传,如有侵权请联系删除!