第 41 期 | GPTSecurity 周报

2024-03-05
北京
本文字数：1455 字
阅读完需：约 5 分钟

GPTSecurity 是一个涵盖了前沿学术研究和实践经验分享的社区，集成了生成预训练 Transformer（GPT）、人工智能生成内容（AIGC）以及大语言模型（LLM）等安全领域应用的知识。在这里，您可以找到关于 GPT/AIGC/LLM 最新的研究论文、博客文章、实用的工具和预设指令（Prompts）。现为了更好地知悉近一周的贡献内容，现总结如下。

Security Papers

1.利用 AI 规划检测云安全漏洞

简介：随着云计算服务在数据存储、处理和协作方面的高效性和经济性受到广泛认可，其安全性问题也逐渐成为关注的焦点。特别是，安全漏洞引发的数据泄露和复杂攻击（例如勒索软件）已经变成了重要的安全风险。为了应对这些挑战，研究人员提出了一个新的通用框架，该框架旨在清楚地定义云系统中各种实体（如用户、数据存储和安全角色）之间的关系，并在此基础上构建和优化访问控制策略。进一步地，研究人员开发了一个基于 PDDL（规划领域定义语言）的模型，专注于识别可能导致广泛攻击（如勒索软件）和敏感数据泄露的安全弱点。通过这个模型，安全规划者可以模拟潜在的攻击场景，以便快速发现并修复云环境中的安全漏洞。为了证实所提出方法的效果，研究人员对 14 个来自不同商业组织的真实 Amazon AWS 云配置进行了测试，展示了这些配置的广泛代表性。测试结果显示，该方法能够成功地识别出一系列广泛的安全漏洞，这些漏洞通常难以被现有的工业级工具发现。这一成果进一步证实了该方法在提高云计算服务安全性方面的实用性和有效性。

链接：

https://arxiv.org/pdf/2402.10985.pdf

2.修复即将产生：使用 LLMs 的多语言程序修复

简介：在编程领域，错误普遍存在，且即便是经验丰富的程序员也时常遇到挑战。为应对此问题，研究人员推出了 RING——一个由大型语言模型（如 Codex）支持的多语言代码修复引擎。与以往的代码建议技术不同，RING 改变了传统编程辅助模式，为程序员编写代码时能提供 AI 驱动的实时修复建议。研究人员在六种不同的编程语言上评估了 RING 的效能，并将其与语言特定的修复引擎对比。结果显示，在这些语言中，RING 在三种语言上的表现超越了语言特定的引擎。RING 的推出为编程错误的修复提供了一种新颖的方法。它不仅跨语言有效，还能模拟程序员的修复方法，提供即时且精确的建议。随着 RING 的进一步完善和优化，预计它将在未来编程实践中扮演更加重要的角色，助力程序员更高效、便捷地编写出高质量代码。

链接：

https://arxiv.org/pdf/2208.11640.pdf

3. 对 LLMs 解决攻击性安全挑战的实证评估

简介：随着大语言模型（LLMs）的崛起，越来越多的 Capture The Flag (CTF)参与者转向这些模型以理解和应对挑战。尽管 LLMs 在 CTF 竞赛中越发流行，目前尚无研究评估其在完全自动化工作流程中解决 CTF 挑战的效果。为填补这一研究空白，研究者开发了两种 CTF 解决策略：人机交互（HITL）和完全自动化模式。这两种流程的目标是测试 LLMs 在处理一系列特定 CTF 挑战时的表现。研究发现，LLMs 的成功率超过了平均水平的人类参赛者。该研究全面评估了 LLMs 在 CTF 挑战中的应用能力，从实际比赛到完全自动化的流程。这些成果为 LLMs 在网络安全教育中的使用提供了宝贵的见解，并为系统评估 LLMs 在网络安全攻防能力方面奠定了基础。

链接：

https://arxiv.org/pdf/2402.11814.pdf