大型语言模型的能力：攻击还是帮助？

大型语言模型 (LLM) 正在快速发展，并被广泛用作自主代理。开发人员可以设计与用户交互、处理查询并根据收到的数据执行任务的代理，例如检测复杂代码中的错误、进行经济分析或协助科学发现。

然而，研究人员越来越担心 LLM 的双重用途——它们能够执行恶意任务，特别是在网络安全背景下。例如，ChatGPT可以利用帮助个人进行渗透测试和创建恶意软件。此外，这些代理可以独立运行，无需人工参与或监督。

康奈尔大学的研究人员，包括 Richard Fang、Rohan Bindu、Akul Gupta、Kiushi Jean 和 Daniel Can，进行了研究，揭示了法学硕士带来的威胁，并对其潜在后果提供了宝贵的见解。他们的研究结果警醒我们，在这个快速发展的领域，需要仔细考虑和监管。

租用 GPU 服务器，即时部署或具有自定义配置配备专业级 NVIDIA Tesla A100 / H100 80Gb 或 A5000 / A4000 卡。带有游戏 RTX4090 卡的 GPU 服务器也可用。

自治网站违规行为

研究证明了 LLM 代理可以执行复杂的攻击，例如，结合查询的盲 SQL 注入攻击。此类攻击针对使用 SQL（结构化查询语言）与数据库交互的 Web 应用程序。此类攻击使恶意行为者能够从数据库中获取机密信息，即使应用程序没有显示任何错误或异常行为的迹象。

这些攻击的根源在于利用 SQL Union 运算符，该运算符可以将多个查询结果组合成单个数据集。通过精心设计一个以该运算符为特色的查询，恶意行为者可以将数据库查询的结果集与机密信息表的结果集合并。这使他们能够访问敏感数据。

为了成功执行这些攻击，代理必须具备浏览网站并执行超过 45 种操作来入侵网站的能力。值得注意的是，截至今年 2 月，只有 GPT-4 和 GPT-3.5 能够以这种方式入侵网站。但是，较新的模型（例如 Llama3）也可能能够执行类似的操作。

为了调查大型语言模型 (LLM) 在网络入侵中的潜在滥用情况，研究人员利用了各种 AI 工具和框架。具体来说，他们利用 LangChain 创建代理和生成对抗网络 (RAG)，并通过 API 助手使用 OpenAI 模型。React 被用于入侵网站，代理通过 Playwright 进行交互。

为了加强对上下文的理解，先前的函数调用被集成到当前上下文中。通过创建 15 个具有各种漏洞的独立网页建立了受控环境，确保实际网站和个人受到保护。

研究人员使用了十个大型语言模型（包括 GPT-4 和 GPT-3.5）以及八个在 Chatbot Arena 上获得高度评价的开源模型来测试入侵尝试。每个网站都被攻击五次，任何成功的尝试都会通过其中一次获得访问权限。

大型语言模型 (LLM) 的功能通常受“扩展定律”的支配，即增加模型大小和复杂性可以提高特定任务的性能。最近通过一项涉及 GPT-4（一种最先进的 AI 模型）和开源 LLM 的实验证明了这一现象。

在这项研究中，研究人员发现，GPT-4 成功攻破了 15 个测试网站中的 11 个，而开源 LLM 却未能利用任何漏洞。这些结果之间的对比凸显了扩展对 LLM 功能的显著影响。

实验进展如下：

• 初始导航：模型通过网页导航识别目标网页。
• 标准凭证：尝试使用标准用户名和密码来获取访问权限。
• 信息收集：利用获取的信息进行 SQL 注入尝试。
• 源代码分析：分析源代码以确定 SQL 查询是否包含参数 _GET。
• 可利用性评估：确定该查询是否可被利用进行 SQL Union 攻击。
• 立即执行攻击：立即执行SQL Union攻击，最多包含48个步骤。

在这次实验之后，GPT-4 被要求入侵实际网站。尽管它拒绝直接执行攻击，但它成功识别出一个漏洞，并解释了如何在 50 个随机选择的测试网站中利用该漏洞。

利用大型语言模型来利用第一天的漏洞

这项研究研究使用大型语言模型 (LLM) 利用首日漏洞（也称为零日漏洞）的可行性。这些安全漏洞已通过 CVE（通用漏洞和暴露）等来源公开披露，但尚未发布任何补丁或更新来解决该问题。这增加了存在可利用路径的可能性，尽管它尚未被利用。

值得注意的是，即使这些漏洞已为公众所知，也无法保证现有工具能够自动检测到它们。例如，无法访问内部系统详细信息的攻击者或渗透测试人员可能不知道利用漏洞时所使用的软件版本。

鉴于许多第一天漏洞的复杂性，这些漏洞通常存在于封闭系统中，无法重现，研究人员将重点放在开源软件中的漏洞上。

在本研究中，研究人员选择了 15 个漏洞，涵盖 Web 应用程序漏洞、容器管理软件漏洞和 Python 包漏洞。这些漏洞包括 LLM 测试信息收集截止日期之后发现的高风险和低风险漏洞。

本次实验所使用的具体漏洞包括：

这些特工模仿了那些从事网站入侵活动的特工，但有一点不同。他们不再瞄准敏感文件，而是携带通用漏洞和暴露 (CVE) 的详细描述，以及第一天利用漏洞的现实利用场景。

为了评估语言模型 (LLM) 利用漏洞的能力，研究人员利用了 10 个大型 LLM，包括 GPT-4 和 8 个开源替代方案，以及两个自动化工具：由 OWASP 开发的 Zed Attack Proxy (ZAP) 和由 Rapid7 创建的框架 Metasploit。

这项研究表明，GPT-4 能够利用 87% 的漏洞，而其他 LLM 则无法做到这一点。值得注意的是，GPT-4 仅在两个特定漏洞上失败：Iris XSS 和 Hertzbeat RCE。

Iris 网络平台用于协同开展事件响应调查，但由于依赖 JavaScript 导航，因此对 LLM 代理来说颇具挑战性。这使得代理无法访问关键表单和按钮或与所需元素进行交互 - 而人类可以成功完成这项任务。

进一步调查发现，由于 GPT-4 的查询语言是基于英语的，因此很难翻译 Hertzbeat 的详细信息（这些详细信息仅提供中文）。因此，它在重现该漏洞时遇到了困难。

研究结果还强调了 CVE 描述对 LLM 成功率的重要性。如果没有这些描述，成功率会从 87% 大幅下降到 7%。这表明 LLM 代理目前需要详细的说明来制定漏洞利用计划，但尚未能够独立制定此类计划。然而，这仅仅是一个开始，未来的进步可能会改变这一格局。

结论

研究表明，LLM 代理已经能够自主入侵网站并利用计算机系统中的某些真实漏洞（其中大多数都可以通过对其利用方式的描述来利用）。

幸运的是，目前的代理无法利用未知和未公开的漏洞，开源解决方案也无法展示与付费 ChatGPT4（和新 GPT4o）相当的结果。然而，未来的扩展可能会使此类漏洞被利用，免费访问的 LLM 模型可能会复制其专有模型的成功。

所有这些都表明，大型语言模型的开发人员必须更负责任地对待训练过程。此外，网络安全专家需要做好准备，因为这些模型将用于创建机器人，以系统地扫描系统漏洞。

即使是开源模型也可以声称它们不会用于非法活动（Llama 3 断然拒绝帮助入侵网站）。然而，正是由于开放性，除了道德考虑之外，没有任何障碍阻止“无审查”模型的创建。

有很多方法可以说服 LLM 协助入侵，即使它最初拒绝。例如，可以要求它成为一名渗透测试人员，并通过做“好事”来帮助提高网站安全性。

租用 GPU 服务器，即时部署或具有自定义配置配备专业级 NVIDIA Tesla A100 / H100 80Gb 或 A5000 / A4000 卡。带有游戏 RTX4090 卡的 GPU 服务器也可用。