50款主流大模型的网络攻击能力深度测评

前情回顾·大模型网络攻击能力动态

• AI驱动攻击！恶意大模型正推动新一波网络犯罪浪潮

• 警惕！恶意大模型WormGPT新版出现，越狱揭示其底层技术

• 网络攻击新时代：OpenAI Agent首次自主完成钓鱼攻击

• 首个AI驱动的勒索软件组织：大模型生成代码、聊天机器人自主运营

安全内参7月14日消息，研究显示，大语言模型（LLM）在执行漏洞发现和开发利用代码等任务时，表现依然不尽如人意。因此，许多威胁行为者对将AI工具用于此类任务仍持怀疑态度。

这是网络风险管理厂商Forescout的最新研究洞察。该研究测试了来自商业、开源和地下渠道的50个AI模型，以评估其在漏洞研究（VR）和漏洞利用开发（ED）两方面的能力。

没有一个大模型能完成全部任务

研究人员评估了三种不同类型的大模型：托管在HuggingFace上的开源模型、地下模型（如WormGPT、EvilAI和GhostGPT，这些模型可在网络犯罪论坛或Telegram频道获取）以及商业模型（如OpenAI的ChatGPT、谷歌的Gemini、微软的Copilot和Anthropic的Claude）。测试时间周期为今年2月至4月。

研究人员让每个大模型执行两类漏洞研究任务：第一类漏洞研究任务旨在识别特定短代码片段中的漏洞；第二类漏洞利用开发任务则需要为存在漏洞的二进制文件生成可运行的攻击利用代码。

结果显示，48%的模型未能完成第一类任务，55%的模型未能完成第二类任务。随后，他们指示那些完成任务的模型为每个漏洞生成利用代码，结果其失败率分别上升至66%和93%。没有任何模型能够完成全部任务。

研究人员强调，他们并非以初学者的视角测试这些大模型，而是假设自己是经验丰富的安全研究员，在分析漏洞时借助大模型协助；之后再假设自己是资深的渗透测试人员，利用大模型帮助开发漏洞利用代码。研究人员表示：“这些任务需要通过交互式协作来构建、测试并调试漏洞利用程序。”

大多数模型表现不稳定，运行多次经常得出不一致的结果，且常常出现超时或报错。在一些漏洞开发任务中，生成一段可行的利用代码往往需要反复尝试，并耗费数小时。

此外，即使模型最终完成了漏洞利用任务，也需要大量用户引导，例如解释错误信息、调试输出，或手动引导模型找到可行路径。

报告指出：“没有任何一个模型完成全部任务，这突显出攻击者目前仍无法依赖单一工具来贯穿整个漏洞利用流程。我们仍然离能够自主生成完全可用漏洞利用的大模型非常遥远。”

网络犯罪分子对AI能力仍持怀疑态度

该研究于7月10日发布，同时分析了多个地下论坛，以了解网络犯罪社区如何看待AI的潜力。

有经验的威胁行为者通常持怀疑或谨慎态度，许多评论对当前大模型的实际用途进行了淡化。

AI辅助漏洞利用的热情主要来自缺乏经验的用户。

研究人员写道：“尽管近期有报道称大模型在编写代码方面表现惊人，但目前尚无明确证据表明真正的威胁行为者已能稳定利用这些模型发现并开发新漏洞。”

许多威胁行为者确实指出，大模型在执行某些技术辅助任务方面表现不错，例如生成模板代码和其他基本的软件自动化操作。

不同大模型的能力差异显著

总体来看，Forescout研究人员发现不同类型的大模型在能力上存在显著差异：

• 开源模型：测试的16个模型“甚至不适合用于基础的漏洞研究”；

• 地下模型：测试的23个模型“受限于可用性问题，包括访问受限、不稳定行为、输出格式混乱以及上下文长度限制”；

• 商业模型：测试的18个模型普遍受到保护机制限制，“仅有3个模型成功生成了可用的漏洞利用代码”，且前提是有专家用户提供大量引导。

开源模型在漏洞研究和漏洞利用开发任务中的表现最不可靠。测试的16个模型在所有任务中整体表现较差。

这些模型主要来自HuggingFace平台，该平台为社区提供了成千上万的预训练AI模型。

研究人员指出：“总体而言，这类模型甚至无法胜任基础的漏洞研究任务。”

地下模型则是在暗网论坛和Telegram频道中，经过针对恶意用途的微调。这类模型包括基于开源模型改造的定制工具，例如WormGPT和GhostGPT。

尽管这些模型的表现优于开源模型，但仍存在可用性方面的诸多限制，比如访问受限、行为不稳定、输出格式混乱以及上下文长度受限等问题。

来自主要科技公司的通用商业模型，如ChatGPT、Gemini和Copilot，在测试中表现最佳，尽管部分模型会受到对齐机制的保护限制。即便如此，在这一类别中，也仅有3个模型成功为最复杂的测试案例生成了可用的漏洞利用代码。

AI能力预计将持续增长

尽管目前仍有限制，研究人员在为期三个月的测试期中观察到，生成式AI在漏洞研究和漏洞利用开发方面表现出快速进步的趋势。

研究人员补充道：“这些结果显示，尽管生成式AI尚未彻底改变威胁行为者发现和利用漏洞的方式，但这种变革可能即将到来。‘AI驱动的自主性黑客’（vibe hacking）时代正逐步逼近，防御者应立即做好准备。”

Forescout表示，AI可能会使漏洞利用事件变得更加频繁，但不会让其变得更加复杂。因此，最小权限、网络分段和零信任等核心网络安全策略在应对此类攻击中仍至关重要。

参考资料：https://www.infosecurity-magazine.com/news/llms-fall-vulnerability-discovery/、https://www.forescout.com/blog/artificial-exploits-real-limitations-how-ai-cyber-attacks-fall-short/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。