6月9日,NewAtlas报道了一项突破性研究,其中研究人员利用GPT-4驱动的自主协作机器人小组,成功渗透了超过一半的测试网站。令人震惊的是,这些机器人不仅能够自主协调行动,还能够根据需求生成新的“帮手”,利用的还是未公开的零日漏洞。
早期研究回顾
数月前,这些研究人员已在一篇论文中展示了GPT-4的能力,它能够自动利用业界已知但未修复的“N day”漏洞。实验显示,GPT-4能够仅凭已知的CVE列表,自主利用87%的严重级别漏洞。
零日漏洞的新突破
本周,该团队发布了新的研究成果,宣布他们已经能够利用零日漏洞——那些尚未被世界所知的漏洞。他们采用了“任务特定智能体分层规划”(HPTSA)的方法,通过一群大型语言模型(LLM)的协同作战,实现了这一壮举。
HPTSA方法:智能体的协同与分工
与以往单个LLM尝试解决所有复杂任务的方式不同,HPTSA方法引入了“规划智能体”,它负责监督整个过程,并衍生出多个针对特定任务的“子智能体”。这种类似老板与下属的分工方式,有效地减轻了单个智能体在面对复杂任务时的负担。
实验结果:高效率与成功率
在对15个真实网络漏洞的测试中,HPTSA方法在利用漏洞方面的效率比单个LLM高出550%,成功率达到了53%,成功利用了8个零日漏洞,而单个LLM仅利用了3个。
道德与法律框架内的使用
研究人员之一丹尼尔・康(Daniel Kang)强调,虽然存在对这些模型被恶意使用的担忧,但GPT-4在聊天机器人模式下并不足以理解LLM的能力,本身无法进行攻击。当被NewAtlas编辑询问是否能利用零日漏洞时,GPT-4明确表示其不能利用零日漏洞,并强调其目的是在道德和法律框架内提供信息和帮助,同时建议咨询网络安全专业人士。
这项研究不仅展示了人工智能在网络安全领域的潜力,同时也提醒我们,随着技术的发展,必须确保其在正确的轨道上,用于正当和道德的目的。百度云防护等安全解决方案将继续在这一领域发挥关键作用,保护我们的数字世界免受侵害。