成功率达 53研究显示 gpt4 可自主利用零日漏洞攻破网站

成功率达-53研究显示-gpt4-可自主利用零日漏洞攻破网站

几个月以前，同一组科研人员发布了一项研究，宣称他们具备利用GPT-4自动发掘并利用“N日漏洞”的能力，这些漏洞是业内已知但还未得到修补的。在他们的实验中，GPT-4仅仅依靠已公开的普通漏洞信息和CVE（Common Vulnerabilities and Exposures）列表，就能独立利用其中高达87%的高危级别漏洞。

该研究团队在本周公布了最新的进展，宣布他们已经成功应对了所谓的“零日”漏洞，即那些仍未被察觉的安全隐患。他们采取了一种创新技术，称为“任务特定智能体分层规划”（HPTSA），通过这种方法，能够协调一大群自我传播的大型语言模型（LLM）共同工作，形成有效的防御策略。

观察到，不同于以往依赖单一的大型语言模型处理所有复杂任务的做法，HPTSA 方法引入了“规划智能体”来全面监督流程，并衍生出多个专精于特定任务的“子智能体”。这就好比一个领导和其团队成员的关系，规划智能体如同领导一样进行协调管理和任务分配，将工作委派给各个擅长特定领域的“专家子智能体”。这种分工合作的方式有效减轻了单个智能体处理高难度任务的压力。

在对15项实际网络安全漏洞的评估中，HPTSA在利用这些漏洞的效能上相比独立运作的LLM展现了高达550%的优越性。它成功地利用了8个未知的零日漏洞，实现了53%的成功率，而单独的LLM仅能利用3个漏洞，显得相形见绌。

作为研究报告的参与者和白皮书的撰写者之一，丹尼尔・康（Daniel Kang）明确指出了公众对于这类模型可能被滥用以侵袭网站和网络安全的顾虑，这种担忧确实有其合理性。然而，他同时也着重说明，在聊天机器人形态下的GPT-4，并不具备充分的理解力去利用LLM的能力，它无法主动发起任何攻击，只能提供重写后的反馈，并始终以中文回应。

当NewAtlas的编辑探询ChatGPT是否具备利用零日漏洞的能力时，它明确表示：“不行，我无法利用零日漏洞。我的设计宗旨是遵循道德和法律规定，提供信息和支持。”它还提议向网络安全专家寻求帮助。