OpenAI 承认:GPT-4 可以自行破解任何网站

阅读量54666

发布时间 : 2024-02-20 11:43:11

GPT-4 在发现漏洞方面比渗透测试人员更好、更便宜。

伊利诺伊大学厄巴纳-香槟分校 (UIUC) 研究人员的一项新 研究 表明,大型语言模型 (LLM) 可用于在无需人工干预的情况下破解网站。

该研究表明,LLM 代理使用 API 访问、自动网上冲浪和基于反馈的规划工具,能够独立检测和利用 Web 应用程序中的漏洞。

作为实验的一部分,使用了 10 种不同的 LLM,包括GPT-4、GPT-3.5 LLaMA -2 以及许多其他开放模型。测试是在隔离环境中进行的,以防止任何真正的损害,在目标网站上测试了 15 个不同的漏洞,包括 SQL 注入、跨站脚本 ( XSS ) 和跨站请求伪造 ( CSRF ) 。研究人员还发现,OpenAI的 GPT-4在 73.3% 的情况下成功完成了任务,这明显超过了其他模型的结果。

论文中给出的一种解释是,与开源模型相比,GPT-4 能够更好地根据从目标网站收到的响应来改变其操作

使用自主LLM代理攻击网站的方案

该研究还分析了使用 LLM 代理攻击网站的成本,并将其与雇用渗透测试人员的成本进行了比较。总体成功率为 42.7%,每个网站的平均黑客攻击成本为 9.81 美元,这比人类专家(每次尝试 80 美元)便宜得多。

该论文的作者还对未来使用LLM作为自主黑客代理表示担忧。科学家们表示,虽然现有的漏洞可以使用自动扫描仪检测到,但LLM独立和大规模黑客攻击的能力带来了新的危险。

专家们呼吁制定安全措施和政策,促进LLM能力的安全探索,并创建一个环境,使安全研究人员能够继续工作,而不必担心因识别模型的潜在危险用途而受到惩罚。

OpenAI 代表 告诉 The Register,他们非常重视产品的安全性,并打算加强安全措施来防止此类滥用。该公司的专家还对研究人员发表工作成果表示感谢,强调合作对于确保人工智能技术的安全性和可靠性的重要性。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+14赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66