第78期 | GPTSecurity周报
GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找到关于GPT/AIGC/LLM最新的研究论文、博客文章、实用的工具和预设指令(Prompts)。现为了更好地知悉近一周的贡献内容,现总结如下。
Security Papers
1. ChatNVD:借助大语言模型推进网络安全漏洞评估
简介:软件系统中网络安全漏洞出现的频率日益增加,其复杂程度也不断提高,这凸显出对可靠且有效的漏洞评估方法的迫切需求。然而,现有的评估方法往往依赖于技术性很强且抽象的框架,这既阻碍了人们的理解,又增加了漏洞被利用的可能性,进而导致严重的网络攻击。
鉴于大语言模型(LLMs)在各个不同领域的应用日益广泛,研究者们探讨了它们在网络安全领域的潜在应用,特别是在加强软件漏洞评估方面的应用。研究者们提出了 ChatNVD,这是一款基于大语言模型的网络安全漏洞评估工具,它利用美国国家漏洞数据库(NVD)为网络安全专业人员、开发人员以及非技术用户提供富含背景信息的见解,并简化漏洞分析流程。
研究者们开发了 ChatNVD 的三个变体,分别利用了三家知名机构的大语言模型:OpenAI 的 GPT-4o mini、Meta 的 Llama 3 以及谷歌的 Gemini 1.5 Pro。为了评估它们的功效,研究者们使用一份涵盖常见安全漏洞问题的综合调查问卷对这些模型进行了对比分析,以评估它们在识别和分析软件漏洞方面的准确性。这项研究为大语言模型在应对理解和缓解软件漏洞方面的关键挑战上所具备的潜力提供了有价值的见解。
链接:
https://arxiv.org/abs/2412.04756
2. 释放GHOST:一个基于大语言模型的自动化硬件木马设计框架
简介:传统上,将逼真的硬件木马(HT)植入复杂的硬件系统是一个耗时的手动过程,需要对设计有全面的了解,并能梳理错综复杂的硬件描述语言(HDL)代码库。基于机器学习(ML)的方法曾试图使这一过程自动化,但往往面临诸多挑战,比如需要大量的训练数据、学习时间长以及在不同硬件设计场景中的通用性有限等问题。
研究者们通过提出GHOST来应对这些挑战,GHOST是一个利用大语言模型(LLMs)实现快速生成并植入硬件木马的自动化攻击框架。研究者们的研究针对静态随机存取存储器(SRAM)、高级加密标准(AES)和通用异步收发传输器(UART)这三种硬件设计,对三款最先进的大语言模型 ——GPT-4、Gemini-1.5-pro 和 Llama-3-70B 进行了评估。根据研究者们的评估结果,GPT-4 表现出更优性能,其 88.88% 的硬件木马植入尝试都成功生成了可正常工作且可综合的硬件木马。
这项研究还凸显了由大语言模型生成的硬件木马所带来的安全风险,结果显示,由GHOST生成的可综合硬件木马有 100% 都躲过了基于机器学习的硬件木马检测工具的检测。这些结果强调了硬件安全领域迫切需要先进的检测和防范机制,以应对由大语言模型生成硬件木马这一新兴威胁。
链接:
https://arxiv.org/abs/2412.02816
3. 使用Plain Agents进行黑客夺旗赛(CTF)
简介:研究者们通过简单的大语言模型(LLM)智能体设计对一项高中水平的黑客竞赛基准进行了充分测试。具体而言,研究者们利用提示、工具使用以及多次尝试的方法,在 InterCode-CTF(一个颇受欢迎的攻击性安全基准测试)上取得了 95% 的成绩。这一成绩超过了 2024 年冯氏(Phuong)等人所取得的 29% 以及 2024 年阿布拉莫维奇(Abramovich)等人所取得的 72% 的成绩。
研究者们的研究结果表明,当前的大语言模型在攻击性网络安全方面已经超越了高中水平。研究者们发现它们的黑客能力仍未被充分挖掘:研究者们采用的 “推理与规划”(ReAct&Plan)提示策略无需复杂的工程设计或高级操控手段,就能在一到两轮内解决诸多难题。
链接:
https://arxiv.org/abs/2412.02776
4. HackSynth:用于自主渗透测试的大语言模型智能体及评估框架
简介:研究者们引入了 HackSynth,这是一种创新的基于大语言模型(LLM)且具备自主渗透测试能力的智能体。HackSynth 的双模块架构涵盖了一个规划器与一个汇总器,这使得它能够循环往复地生成指令并处理反馈信息。
为了对 HackSynth 进行基准测试,研究者们凭借热门平台 PicoCTF 和 OverTheWire 构建了两套全新的基于夺旗赛(CTF)的基准集。这些基准集收纳了横跨不同领域与难度层级的两百个挑战任务,为评估基于大语言模型的渗透测试智能体搭建起了标准化的框架体系。
基于上述基准,研究者们实施了大量的实验,对 HackSynth 的核心参数予以剖析,其中包含了创造性(如温度和核采样参数)以及令牌利用率等方面。研究者们运用了多个开源与专有大语言模型来测定该智能体的各项能力。实验结果显示,此智能体在采用 GPT-4o 模型时展现出最优的性能表现,其效果甚至超越了 GPT-4o 的系统卡片所给出的预期。
研究者们还针对 HackSynth 行为的安全性与可预测性展开了深入探讨。研究者们的发现彰显了基于大语言模型的智能体在推动自主渗透测试发展进程中的潜在价值,同时也凸显了稳固保障措施的关键意义。HackSynth 及其相关基准均已面向公众开放,旨在推动关于自主网络安全解决方案的深入探究。
链接:
https://arxiv.org/abs/2412.01778
5. 未来之种从FUTURE中萌芽:用于揭示未来深度学习库中漏洞的模糊测试
简介:大语言模型(LLMs)的广泛应用凸显了依赖诸如 PyTorch 和 TensorFlow 等基础深度学习库的深度学习(DL)技术的重要性。尽管这些库具备强大的功能,但它们在可扩展性以及适应大语言模型领域快速发展方面面临挑战。作为回应,苹果和华为等科技巨头正在研发各自的深度学习库,以提升性能、增强可扩展性并保护知识产权。
研究者们意识到确保这些库的安全性至关重要,而模糊测试是一项关键的解决办法。然而,现有的模糊测试框架在目标灵活性、有效测试容易出现漏洞的应用程序编程接口(API)序列以及利用新库中有限的可用信息方面存在困难。
为解决这些局限,研究者们提出了 FUTURE,这是首个专为新推出及潜在的深度学习库量身定制的通用模糊测试框架。研究者们利用 FUTURE来挖掘历史漏洞信息,通过对现有库的深入研究,获取可用于新库检测的关键数据。同时,研究者们对大语言模型进行微调以生成特定的代码,使 FUTURE框架能够更好地适应不同库的特点。这一策略有助于识别新库中的漏洞,并利用从这些新库中获得的见解来增强现有库的安全性,从而形成一个从历史到未来再回到历史的循环。
为评估 FUTURE的有效性,研究者们对三个新推出的深度学习库进行了全面评估。评估结果表明,FUTURE 在漏洞检测、漏洞复现成功率、代码生成有效率以及 API 覆盖范围等方面,显著优于现有的模糊测试工具。尤其值得一提的是,FUTURE在 452 个目标 API 中检测出了 148 个漏洞,其中包括 142 个此前未知的漏洞。在这些漏洞中,有 10 个已被分配了通用漏洞披露(CVE)编号。此外,FUTURE 还在 PyTorch 中检测出了 7 个漏洞,这证明了它反向增强现有库安全性的能力。
链接:
https://arxiv.org/abs/2412.01317
相关文章:
第78期 | GPTSecurity周报
GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找…...
电容Q值、损耗角、应用
电容发热的主要原因:纹波电压 当电容两端施加纹波电压时,电容承受的是变化的电压,由于电容内部存在寄生电阻(ESR)和寄生电感(ESL).因此电容会有能量损耗,从而产生热量,这…...
【WRF教程第3.6期】预处理系统 WPS 详解:以4.5版本为例
预处理系统 WPS 详解:以4.5版本为例 Geogrid/Metgrid 插值选项详解1. 插值方法的工作机制2. 插值方法的详细说明2.1 四点双线性插值(four_pt)2.2 十六点重叠抛物线插值(sixteen_pt)2.3 简单四点平均插值(av…...
linux 安装redis
下载地址 通过网盘分享的文件:redis-7.2.3.tar.gz 链接: https://pan.baidu.com/s/1KjGJB1IRIr9ehGRKBLgp4w?pwd0012 提取码: 0012 解压 tar -zxvf redis-7.2.3.tar.gz mv redis-7.2.3 /usr/local/ cd /usr/local/redis-7.2.3 安装 make install 修改配置文件 /搜索…...
Linux - rpm yum 工具及命令总结
RPM 概述 定义:RPM(RedHat Package Manager),是一个功能强大的软件包管理系统,用于在 Linux 系统中安装、升级和管理软件包采用系统:主要用于基于 RPM 的 Linux 发行版,如 Red Hat、CentOS、S…...
电子应用设计方案-58:智能沙发系统方案设计
智能沙发系统方案设计 一、引言 智能沙发作为一种融合了舒适与科技的家居产品,旨在为用户提供更加便捷、舒适和个性化的体验。本方案将详细介绍智能沙发系统的设计思路和功能实现。 二、系统概述 1. 系统目标 - 实现多种舒适的姿势调节,满足不同用户的…...
复习打卡Linux篇
目录 1. Linux常用操作命令 2. vim编辑器 3. 用户权限 4. Linux系统信息查看 1. Linux常用操作命令 基础操作: 命令说明history查看历史执行命令ls查看指定目录下内容ls -a查看所有文件 包括隐藏文件ls -l ll查看文件详细信息,包括权限类型时间大小…...
在Ubuntu 22.04 LTS中使用PyTorch深度学习框架并调用多GPU时遇到indexSelectLargeIndex相关的断言失败【笔记】
在Ubuntu 22.04 LTS系统中,已安装配置好CUDA 12.4、cuDNN 9.1.1以及PyTorch环境 export CUDA_VISIBLE_DEVICES0,1,2,3,4,5,6,7 在PyTorch深度学习框架训练调用多GPU时,提示 indexSelectLargeIndex: block: [x, 0, 0], thread: [x, 0, 0] Assertion src…...
qt 类中的run线程
在Qt中,QThread类的run()方法是线程的执行入口,它是由QThread内部自动调用的,而不是用户直接调用。 详细解释: QThread类: QThread是Qt的线程类,提供了用于多线程操作的接口。我们可以创建QThread对象并将…...
Vue3父子组件传属性和方法调用Demo
Vue3父子组件传属性和方法调用Demo 说明目录父组件给子组件传值和方法 父组件给子组件传值-使用defineProps接受父组件属性值父组件给子组件传值-使用defineModel接受父组件v-model值 当子组件只需要接收父组件一个v-model值时,写法1如下:子组件接收单个v-model写法2如下:当子…...
aac怎么转为mp3?操作起来很简单的几种aac转mp3的方法
aac怎么转为mp3?aac格式的优势主要体现在音质和压缩效率,尤其是在较低比特率下,能够实现更清晰的音质,这也是为何许多现代设备和应用偏爱aac格式的原因之一。特别是在手机、平板以及智能音响等设备中,aac文件几乎可以无…...
结合mybatis-plus实现Function获取java实体类的属性名
1、工具类 package com.yh.tunnel.util;import com.baomidou.mybatisplus.core.toolkit.support.SFunction; import com.google.common.base.CaseFormat; import com.yh.tunnel.domain.Plan;import java.lang.invoke.SerializedLambda; import java.lang.reflect.Field; import…...
vue 响应式数据原理
发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【宝藏入口】。 Vue 的响应式数据原理是其核心功能之一,它使得 Vue 应用能够自动响应数据的变化,并在数据变化时自动更新…...
android 计算CRC
<?php /** * 将一个字符按比特位进行反转 eg: 65 (01000001) --> 130(10000010) * param $char * return $char */ function reverseChar($char) { $byte ord($char); $tmp 0; for ($i 0; $i < 8; $i) { if ($byte & (1 << $i)…...
Linux tinyproxy 使用教程
简介 Tinyproxy 是一款轻量级 HTTP 代理服务器,使用最少的资源,非常适合硬件有限的系统。尽管体积小,但它可以处理大量流量,而不会出现明显的性能问题。旨在处理简单的代理任务。它通常用于路由网络流量以保护隐私、缓存或访问受…...
局部规划器设计思路
本文参考知乎文章:如何设计局部规划器 0 引言 局部规划器设计通用方法:生成路径——>寻找最优路径——>后处理优化 1 路径生成 四个问题: ① 如果全局路径中突然出现动态障碍物 ② 如果全局路径非常靠近障碍物 ③ 如果全局路径不容易跟踪(B样条平滑) ④ 如果全局…...
数字图像处理技术期末复习
1. 已知图像的分辨率和深度,怎么求图像的存储空间(位,字节,KB)? 题目: 已知图像的分辨率和深度,怎么求图像的存储空间(位,字节,KB)&a…...
UITableView显示数据,增加数据,删除数据及移动数据行
UITableView和html中的table有点类似的,也有header和footer和body,row。下面给出一个demo // // TableViewTestViewController.m // iosstudy2024 // // Created by figo on 2024/12/9. //#import "TableViewTestViewController.h"interfa…...
金智塔科技喜获CCF中国数字金融大会 GraphRAG竞赛二等奖
12月7日,CCF 首届中国数字金融大会GraphRAG竞赛在上海落下帷幕,金智塔科技(团队名称:塔塔向前冲)从众多参赛队伍中脱颖而出,喜获二等奖。 CCF 首届中国数字金融大会由中国计算机学会主办,中国计…...
方案解读:数字化扩展中如何提升多云应用安全能力?
越来越多企业选择上云,拥抱数字化转型。数据显示,在过去一年中,将应用托管至六种不同环境中的企业比例已经翻倍,达到令人震惊的38%。与此同时,应用和流经其的关键数据已成为日益复杂的网络攻击的首选目标,且…...
“年轻科技旗舰”爱玛A7 Plus正式发布,全国售价4999元
12月18日,备受行业瞩目的“A7上场 一路超神”爱玛旗舰新品发布会在爱玛台州智造工厂盛大举行。 作为年末“压轴产品”的“两轮豪华轿跑”爱玛A7Plus重磅上场,以“快、稳、帅、炫、智、爽”六大超神技惊艳四座,不仅践行了爱玛科技的精品战略&…...
oracle开窗函数笔记、over()笔记
文章目录 开窗函数、组函数、分析函数概念聚合函数和分析函数的区别partition by后面也可以跟多个字段 开窗函数一定要加 聚合函数、或分析函数吗,否则会报错lag()和lead()的用法lag和lead实战开窗函数可以和其他函数一起使用吗? TODO开窗函数中的count(1)是什么意…...
【HarmonyOS】HarmonyOS 和 Flutter混合开发 (一)之鸿蒙Flutter环境安装
【HarmonyOS】HarmonyOS 和 Flutter混合开发 (一)之鸿蒙Flutter环境安装 一、前言 flutter作为开源适配框架方案,已经在Android,IOS,Web,Window四大平台进行了适配,一套代码,可以同…...
海外招聘丨卢森堡大学—人工智能和机器学习中的 PI 用于图像分析
雇主简介 卢森堡大学立志成为欧洲最受推崇的大学之一,具有鲜明的国际化、多语言和跨学科特色。 她促进研究和教学的相互影响,与国家息息相关,因其在特定领域的研究和教学而闻名于世,并成为当代欧洲高等教育的创新典范。 她的核…...
LeetCode hot100-85
https://leetcode.cn/problems/coin-change/?envTypestudy-plan-v2&envIdtop-100-liked 322. 零钱兑换 已解答 中等 相关标签 相关企业 给你一个整数数组 coins ,表示不同面额的硬币;以及一个整数 amount ,表示总金额。计算并返回可以凑…...
linux 内核数据包处理中的一些坑和建议
1、获取IP头部 iph ip_hdr(skb); struct sk_buff { ...... sk_buff_data_t transport_header; /* Transport layer header */ sk_buff_data_t network_header; /* Network layer header */ sk_buff_data_t mac_header; /* Link layer header */ ...... } 1࿰…...
C++ 的衰退复制(decay-copy)
目录 1.什么是衰退复制(decay-copy) 1.1.推导规则 1.2.LWG issue 929 1.3.想象中的 decay_copy 2.decay-copy 与 auto 2.1.为什么引入衰退复制 2.2. 成为 C 23 的语言特性 3.应用场景 4.总结 1.什么是衰退复制(decay-copy࿰…...
vue-cli 5接入模块联邦 module federation
vue-cli 5接入模块联邦 module federation 模块联邦概念实现思路配置遇到的问题: 模块联邦概念 模块联邦由webpack 5最先推出的,让应用加载远程的代码模块来实现不同的Web应用共享代码片段.模块联邦分为两个角色,一个是生产者,一个是消费者.生产者暴露代码供消费者消费 (用一个…...
【Rust自学】3.6. 控制流:循环
3.6.0. 写在正文之前 欢迎来到Rust自学的第三章,一共有6个小节,分别是: 变量与可变性数据类型:标量类型数据类型:复合类型函数和注释控制流:if else控制流:循环(本文) 通过第二章…...
【第八节】git与github
目录 前言 一、 远程仓库概述 二、 创建、配置、连接推送远程仓库 2.1 在 GitHub 上创建仓库 2.2 生成 SSH Key 2.3 验证 SSH 连接 2.4 本地初始化仓库 2.5 推送本地仓库到远程 三、 管理远程仓库 3.1 查看远程仓库 3.2 提取远程仓库更新 3.3 推送更新到远程仓库 …...