第78期 | GPTSecurity周报
GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找到关于GPT/AIGC/LLM最新的研究论文、博客文章、实用的工具和预设指令(Prompts)。现为了更好地知悉近一周的贡献内容,现总结如下。
Security Papers
1. ChatNVD:借助大语言模型推进网络安全漏洞评估
简介:软件系统中网络安全漏洞出现的频率日益增加,其复杂程度也不断提高,这凸显出对可靠且有效的漏洞评估方法的迫切需求。然而,现有的评估方法往往依赖于技术性很强且抽象的框架,这既阻碍了人们的理解,又增加了漏洞被利用的可能性,进而导致严重的网络攻击。
鉴于大语言模型(LLMs)在各个不同领域的应用日益广泛,研究者们探讨了它们在网络安全领域的潜在应用,特别是在加强软件漏洞评估方面的应用。研究者们提出了 ChatNVD,这是一款基于大语言模型的网络安全漏洞评估工具,它利用美国国家漏洞数据库(NVD)为网络安全专业人员、开发人员以及非技术用户提供富含背景信息的见解,并简化漏洞分析流程。
研究者们开发了 ChatNVD 的三个变体,分别利用了三家知名机构的大语言模型:OpenAI 的 GPT-4o mini、Meta 的 Llama 3 以及谷歌的 Gemini 1.5 Pro。为了评估它们的功效,研究者们使用一份涵盖常见安全漏洞问题的综合调查问卷对这些模型进行了对比分析,以评估它们在识别和分析软件漏洞方面的准确性。这项研究为大语言模型在应对理解和缓解软件漏洞方面的关键挑战上所具备的潜力提供了有价值的见解。
链接:
https://arxiv.org/abs/2412.04756
2. 释放GHOST:一个基于大语言模型的自动化硬件木马设计框架
简介:传统上,将逼真的硬件木马(HT)植入复杂的硬件系统是一个耗时的手动过程,需要对设计有全面的了解,并能梳理错综复杂的硬件描述语言(HDL)代码库。基于机器学习(ML)的方法曾试图使这一过程自动化,但往往面临诸多挑战,比如需要大量的训练数据、学习时间长以及在不同硬件设计场景中的通用性有限等问题。
研究者们通过提出GHOST来应对这些挑战,GHOST是一个利用大语言模型(LLMs)实现快速生成并植入硬件木马的自动化攻击框架。研究者们的研究针对静态随机存取存储器(SRAM)、高级加密标准(AES)和通用异步收发传输器(UART)这三种硬件设计,对三款最先进的大语言模型 ——GPT-4、Gemini-1.5-pro 和 Llama-3-70B 进行了评估。根据研究者们的评估结果,GPT-4 表现出更优性能,其 88.88% 的硬件木马植入尝试都成功生成了可正常工作且可综合的硬件木马。
这项研究还凸显了由大语言模型生成的硬件木马所带来的安全风险,结果显示,由GHOST生成的可综合硬件木马有 100% 都躲过了基于机器学习的硬件木马检测工具的检测。这些结果强调了硬件安全领域迫切需要先进的检测和防范机制,以应对由大语言模型生成硬件木马这一新兴威胁。
链接:
https://arxiv.org/abs/2412.02816
3. 使用Plain Agents进行黑客夺旗赛(CTF)
简介:研究者们通过简单的大语言模型(LLM)智能体设计对一项高中水平的黑客竞赛基准进行了充分测试。具体而言,研究者们利用提示、工具使用以及多次尝试的方法,在 InterCode-CTF(一个颇受欢迎的攻击性安全基准测试)上取得了 95% 的成绩。这一成绩超过了 2024 年冯氏(Phuong)等人所取得的 29% 以及 2024 年阿布拉莫维奇(Abramovich)等人所取得的 72% 的成绩。
研究者们的研究结果表明,当前的大语言模型在攻击性网络安全方面已经超越了高中水平。研究者们发现它们的黑客能力仍未被充分挖掘:研究者们采用的 “推理与规划”(ReAct&Plan)提示策略无需复杂的工程设计或高级操控手段,就能在一到两轮内解决诸多难题。
链接:
https://arxiv.org/abs/2412.02776
4. HackSynth:用于自主渗透测试的大语言模型智能体及评估框架
简介:研究者们引入了 HackSynth,这是一种创新的基于大语言模型(LLM)且具备自主渗透测试能力的智能体。HackSynth 的双模块架构涵盖了一个规划器与一个汇总器,这使得它能够循环往复地生成指令并处理反馈信息。
为了对 HackSynth 进行基准测试,研究者们凭借热门平台 PicoCTF 和 OverTheWire 构建了两套全新的基于夺旗赛(CTF)的基准集。这些基准集收纳了横跨不同领域与难度层级的两百个挑战任务,为评估基于大语言模型的渗透测试智能体搭建起了标准化的框架体系。
基于上述基准,研究者们实施了大量的实验,对 HackSynth 的核心参数予以剖析,其中包含了创造性(如温度和核采样参数)以及令牌利用率等方面。研究者们运用了多个开源与专有大语言模型来测定该智能体的各项能力。实验结果显示,此智能体在采用 GPT-4o 模型时展现出最优的性能表现,其效果甚至超越了 GPT-4o 的系统卡片所给出的预期。
研究者们还针对 HackSynth 行为的安全性与可预测性展开了深入探讨。研究者们的发现彰显了基于大语言模型的智能体在推动自主渗透测试发展进程中的潜在价值,同时也凸显了稳固保障措施的关键意义。HackSynth 及其相关基准均已面向公众开放,旨在推动关于自主网络安全解决方案的深入探究。
链接:
https://arxiv.org/abs/2412.01778
5. 未来之种从FUTURE中萌芽:用于揭示未来深度学习库中漏洞的模糊测试
简介:大语言模型(LLMs)的广泛应用凸显了依赖诸如 PyTorch 和 TensorFlow 等基础深度学习库的深度学习(DL)技术的重要性。尽管这些库具备强大的功能,但它们在可扩展性以及适应大语言模型领域快速发展方面面临挑战。作为回应,苹果和华为等科技巨头正在研发各自的深度学习库,以提升性能、增强可扩展性并保护知识产权。
研究者们意识到确保这些库的安全性至关重要,而模糊测试是一项关键的解决办法。然而,现有的模糊测试框架在目标灵活性、有效测试容易出现漏洞的应用程序编程接口(API)序列以及利用新库中有限的可用信息方面存在困难。
为解决这些局限,研究者们提出了 FUTURE,这是首个专为新推出及潜在的深度学习库量身定制的通用模糊测试框架。研究者们利用 FUTURE来挖掘历史漏洞信息,通过对现有库的深入研究,获取可用于新库检测的关键数据。同时,研究者们对大语言模型进行微调以生成特定的代码,使 FUTURE框架能够更好地适应不同库的特点。这一策略有助于识别新库中的漏洞,并利用从这些新库中获得的见解来增强现有库的安全性,从而形成一个从历史到未来再回到历史的循环。
为评估 FUTURE的有效性,研究者们对三个新推出的深度学习库进行了全面评估。评估结果表明,FUTURE 在漏洞检测、漏洞复现成功率、代码生成有效率以及 API 覆盖范围等方面,显著优于现有的模糊测试工具。尤其值得一提的是,FUTURE在 452 个目标 API 中检测出了 148 个漏洞,其中包括 142 个此前未知的漏洞。在这些漏洞中,有 10 个已被分配了通用漏洞披露(CVE)编号。此外,FUTURE 还在 PyTorch 中检测出了 7 个漏洞,这证明了它反向增强现有库安全性的能力。
链接:
https://arxiv.org/abs/2412.01317
相关文章:
第78期 | GPTSecurity周报
GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找…...
电容Q值、损耗角、应用
电容发热的主要原因:纹波电压 当电容两端施加纹波电压时,电容承受的是变化的电压,由于电容内部存在寄生电阻(ESR)和寄生电感(ESL).因此电容会有能量损耗,从而产生热量,这…...
【WRF教程第3.6期】预处理系统 WPS 详解:以4.5版本为例
预处理系统 WPS 详解:以4.5版本为例 Geogrid/Metgrid 插值选项详解1. 插值方法的工作机制2. 插值方法的详细说明2.1 四点双线性插值(four_pt)2.2 十六点重叠抛物线插值(sixteen_pt)2.3 简单四点平均插值(av…...
linux 安装redis
下载地址 通过网盘分享的文件:redis-7.2.3.tar.gz 链接: https://pan.baidu.com/s/1KjGJB1IRIr9ehGRKBLgp4w?pwd0012 提取码: 0012 解压 tar -zxvf redis-7.2.3.tar.gz mv redis-7.2.3 /usr/local/ cd /usr/local/redis-7.2.3 安装 make install 修改配置文件 /搜索…...
Linux - rpm yum 工具及命令总结
RPM 概述 定义:RPM(RedHat Package Manager),是一个功能强大的软件包管理系统,用于在 Linux 系统中安装、升级和管理软件包采用系统:主要用于基于 RPM 的 Linux 发行版,如 Red Hat、CentOS、S…...
电子应用设计方案-58:智能沙发系统方案设计
智能沙发系统方案设计 一、引言 智能沙发作为一种融合了舒适与科技的家居产品,旨在为用户提供更加便捷、舒适和个性化的体验。本方案将详细介绍智能沙发系统的设计思路和功能实现。 二、系统概述 1. 系统目标 - 实现多种舒适的姿势调节,满足不同用户的…...
复习打卡Linux篇
目录 1. Linux常用操作命令 2. vim编辑器 3. 用户权限 4. Linux系统信息查看 1. Linux常用操作命令 基础操作: 命令说明history查看历史执行命令ls查看指定目录下内容ls -a查看所有文件 包括隐藏文件ls -l ll查看文件详细信息,包括权限类型时间大小…...
在Ubuntu 22.04 LTS中使用PyTorch深度学习框架并调用多GPU时遇到indexSelectLargeIndex相关的断言失败【笔记】
在Ubuntu 22.04 LTS系统中,已安装配置好CUDA 12.4、cuDNN 9.1.1以及PyTorch环境 export CUDA_VISIBLE_DEVICES0,1,2,3,4,5,6,7 在PyTorch深度学习框架训练调用多GPU时,提示 indexSelectLargeIndex: block: [x, 0, 0], thread: [x, 0, 0] Assertion src…...
qt 类中的run线程
在Qt中,QThread类的run()方法是线程的执行入口,它是由QThread内部自动调用的,而不是用户直接调用。 详细解释: QThread类: QThread是Qt的线程类,提供了用于多线程操作的接口。我们可以创建QThread对象并将…...
Vue3父子组件传属性和方法调用Demo
Vue3父子组件传属性和方法调用Demo 说明目录父组件给子组件传值和方法 父组件给子组件传值-使用defineProps接受父组件属性值父组件给子组件传值-使用defineModel接受父组件v-model值 当子组件只需要接收父组件一个v-model值时,写法1如下:子组件接收单个v-model写法2如下:当子…...
aac怎么转为mp3?操作起来很简单的几种aac转mp3的方法
aac怎么转为mp3?aac格式的优势主要体现在音质和压缩效率,尤其是在较低比特率下,能够实现更清晰的音质,这也是为何许多现代设备和应用偏爱aac格式的原因之一。特别是在手机、平板以及智能音响等设备中,aac文件几乎可以无…...
结合mybatis-plus实现Function获取java实体类的属性名
1、工具类 package com.yh.tunnel.util;import com.baomidou.mybatisplus.core.toolkit.support.SFunction; import com.google.common.base.CaseFormat; import com.yh.tunnel.domain.Plan;import java.lang.invoke.SerializedLambda; import java.lang.reflect.Field; import…...
vue 响应式数据原理
发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【宝藏入口】。 Vue 的响应式数据原理是其核心功能之一,它使得 Vue 应用能够自动响应数据的变化,并在数据变化时自动更新…...
android 计算CRC
<?php /** * 将一个字符按比特位进行反转 eg: 65 (01000001) --> 130(10000010) * param $char * return $char */ function reverseChar($char) { $byte ord($char); $tmp 0; for ($i 0; $i < 8; $i) { if ($byte & (1 << $i)…...
Linux tinyproxy 使用教程
简介 Tinyproxy 是一款轻量级 HTTP 代理服务器,使用最少的资源,非常适合硬件有限的系统。尽管体积小,但它可以处理大量流量,而不会出现明显的性能问题。旨在处理简单的代理任务。它通常用于路由网络流量以保护隐私、缓存或访问受…...
局部规划器设计思路
本文参考知乎文章:如何设计局部规划器 0 引言 局部规划器设计通用方法:生成路径——>寻找最优路径——>后处理优化 1 路径生成 四个问题: ① 如果全局路径中突然出现动态障碍物 ② 如果全局路径非常靠近障碍物 ③ 如果全局路径不容易跟踪(B样条平滑) ④ 如果全局…...
数字图像处理技术期末复习
1. 已知图像的分辨率和深度,怎么求图像的存储空间(位,字节,KB)? 题目: 已知图像的分辨率和深度,怎么求图像的存储空间(位,字节,KB)&a…...
UITableView显示数据,增加数据,删除数据及移动数据行
UITableView和html中的table有点类似的,也有header和footer和body,row。下面给出一个demo // // TableViewTestViewController.m // iosstudy2024 // // Created by figo on 2024/12/9. //#import "TableViewTestViewController.h"interfa…...
金智塔科技喜获CCF中国数字金融大会 GraphRAG竞赛二等奖
12月7日,CCF 首届中国数字金融大会GraphRAG竞赛在上海落下帷幕,金智塔科技(团队名称:塔塔向前冲)从众多参赛队伍中脱颖而出,喜获二等奖。 CCF 首届中国数字金融大会由中国计算机学会主办,中国计…...
方案解读:数字化扩展中如何提升多云应用安全能力?
越来越多企业选择上云,拥抱数字化转型。数据显示,在过去一年中,将应用托管至六种不同环境中的企业比例已经翻倍,达到令人震惊的38%。与此同时,应用和流经其的关键数据已成为日益复杂的网络攻击的首选目标,且…...
React Native在HarmonyOS 5.0阅读类应用开发中的实践
一、技术选型背景 随着HarmonyOS 5.0对Web兼容层的增强,React Native作为跨平台框架可通过重新编译ArkTS组件实现85%以上的代码复用率。阅读类应用具有UI复杂度低、数据流清晰的特点。 二、核心实现方案 1. 环境配置 (1)使用React Native…...
服务器硬防的应用场景都有哪些?
服务器硬防是指一种通过硬件设备层面的安全措施来防御服务器系统受到网络攻击的方式,避免服务器受到各种恶意攻击和网络威胁,那么,服务器硬防通常都会应用在哪些场景当中呢? 硬防服务器中一般会配备入侵检测系统和预防系统&#x…...
Rust 异步编程
Rust 异步编程 引言 Rust 是一种系统编程语言,以其高性能、安全性以及零成本抽象而著称。在多核处理器成为主流的今天,异步编程成为了一种提高应用性能、优化资源利用的有效手段。本文将深入探讨 Rust 异步编程的核心概念、常用库以及最佳实践。 异步编程基础 什么是异步…...
selenium学习实战【Python爬虫】
selenium学习实战【Python爬虫】 文章目录 selenium学习实战【Python爬虫】一、声明二、学习目标三、安装依赖3.1 安装selenium库3.2 安装浏览器驱动3.2.1 查看Edge版本3.2.2 驱动安装 四、代码讲解4.1 配置浏览器4.2 加载更多4.3 寻找内容4.4 完整代码 五、报告文件爬取5.1 提…...
RNN避坑指南:从数学推导到LSTM/GRU工业级部署实战流程
本文较长,建议点赞收藏,以免遗失。更多AI大模型应用开发学习视频及资料,尽在聚客AI学院。 本文全面剖析RNN核心原理,深入讲解梯度消失/爆炸问题,并通过LSTM/GRU结构实现解决方案,提供时间序列预测和文本生成…...
【碎碎念】宝可梦 Mesh GO : 基于MESH网络的口袋妖怪 宝可梦GO游戏自组网系统
目录 游戏说明《宝可梦 Mesh GO》 —— 局域宝可梦探索Pokmon GO 类游戏核心理念应用场景Mesh 特性 宝可梦玩法融合设计游戏构想要素1. 地图探索(基于物理空间 广播范围)2. 野生宝可梦生成与广播3. 对战系统4. 道具与通信5. 延伸玩法 安全性设计 技术选…...
docker 部署发现spring.profiles.active 问题
报错: org.springframework.boot.context.config.InvalidConfigDataPropertyException: Property spring.profiles.active imported from location class path resource [application-test.yml] is invalid in a profile specific resource [origin: class path re…...
Java线上CPU飙高问题排查全指南
一、引言 在Java应用的线上运行环境中,CPU飙高是一个常见且棘手的性能问题。当系统出现CPU飙高时,通常会导致应用响应缓慢,甚至服务不可用,严重影响用户体验和业务运行。因此,掌握一套科学有效的CPU飙高问题排查方法&…...
(一)单例模式
一、前言 单例模式属于六大创建型模式,即在软件设计过程中,主要关注创建对象的结果,并不关心创建对象的过程及细节。创建型设计模式将类对象的实例化过程进行抽象化接口设计,从而隐藏了类对象的实例是如何被创建的,封装了软件系统使用的具体对象类型。 六大创建型模式包括…...
脑机新手指南(七):OpenBCI_GUI:从环境搭建到数据可视化(上)
一、OpenBCI_GUI 项目概述 (一)项目背景与目标 OpenBCI 是一个开源的脑电信号采集硬件平台,其配套的 OpenBCI_GUI 则是专为该硬件设计的图形化界面工具。对于研究人员、开发者和学生而言,首次接触 OpenBCI 设备时,往…...