先做个广告:如需代注册GPT帐号或代充值ChatGPT4会员,请添加站长客服微信:gpt-app
在一项新的研究中,来自伊利诺伊大学厄巴纳-香槟分校的四位计算机科学家发现了一个令人关注的现象:
推荐使用ChatGPT中文版,国内可直接访问:https://ai.gpt86.top
OpenAI开发的GPT-4,一个大型语言模型(LLM),能够仅凭阅读安全通告(CVE描述)来自主地利用现实世界系统中的安全漏洞。
这项研究的发现是基于对15个未修补的“一天漏洞”的测试,这些漏洞在CVE数据库中被标记为高严重性。
研究团队 对比了GPT-4与其他模型,包括GPT-3.5和一些开源的大型语言模型,以及开源的漏洞扫描工具,如ZAP和Metasploit。结果显示,GPT-4在利用这些漏洞方面的成功率达到了87%,而其他所有测试模型和工具的成功率为0%。
这项研究的背景是,之前的研究表明LLM可以用于自动化对网站在沙盒环境中的攻击。GPT-4的能力被认为预示着未来模型,如GPT-5,可能会拥有比现在更为强大的能力,这可能会使得利用漏洞变得更加容易。
研究人员还探讨了限制LLM代理访问CVE描述的可能性,以降低其成功率。然而,他们认为这种方法并不可行,因为安全不应依赖于信息的保密性。相反,他们建议采取更积极的安全措施,比如定期更新软件包以应用安全补丁。
在测试中,GPT-4未能利用的两个漏洞分别是Iris XSS和Hertzbeat RCE。Iris XSS的问题在于其Web应用的界面对代理来说过于复杂,而Hertzbeat RCE的漏洞描述是中文的,这可能导致了以英文运行的LLM代理的混淆。
此外,研究还发现,在GPT-4训练截止日期之后出现的11个漏洞中,模型的成功率略有下降,为82%。这些漏洞包括网站漏洞、容器漏洞和易受攻击的Python包,其中超过一半被分类为高或关键严重性。
研究人员计算了使用LLM代理进行攻击的成本,得出的数字是每次利用8.80美元,这比雇佣人类渗透测试员30分钟的成本要低约2.8倍。代理代码非常简洁,仅由91行代码和1056个提示令牌组成。
尽管研究人员被OpenAI要求不要公开他们的提示,但他们表示愿意在有请求时提供。
至于OpenAI,他们尚未对这项研究的发现做出回应。
本文链接:https://yeziwang.cc/openai_251.html
chatgpt怎么在pc端部署chatgpt 号码验证太多chatgpt会取代前端开发工程师吗chatgpt电商指令模板chatgpt文旅chatgpt怎么接入chatgpt手机端 密码错误chatgpt在电力领域的应用chatgpt中文名就是聊天软件吗chatgpt能做公众号排版吗
