第78期 | GPTSecurity周报
GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找到关于GPT/AIGC/LLM最新的研究论文、博客文章、实用的工具和预设指令(Prompts)。现为了更好地知悉近一周的贡献内容,现总结如下。
Security Papers
1. ChatNVD:借助大语言模型推进网络安全漏洞评估
简介:软件系统中网络安全漏洞出现的频率日益增加,其复杂程度也不断提高,这凸显出对可靠且有效的漏洞评估方法的迫切需求。然而,现有的评估方法往往依赖于技术性很强且抽象的框架,这既阻碍了人们的理解,又增加了漏洞被利用的可能性,进而导致严重的网络攻击。
鉴于大语言模型(LLMs)在各个不同领域的应用日益广泛,研究者们探讨了它们在网络安全领域的潜在应用,特别是在加强软件漏洞评估方面的应用。研究者们提出了 ChatNVD,这是一款基于大语言模型的网络安全漏洞评估工具,它利用美国国家漏洞数据库(NVD)为网络安全专业人员、开发人员以及非技术用户提供富含背景信息的见解,并简化漏洞分析流程。
研究者们开发了 ChatNVD 的三个变体,分别利用了三家知名机构的大语言模型:OpenAI 的 GPT-4o mini、Meta 的 Llama 3 以及谷歌的 Gemini 1.5 Pro。为了评估它们的功效,研究者们使用一份涵盖常见安全漏洞问题的综合调查问卷对这些模型进行了对比分析,以评估它们在识别和分析软件漏洞方面的准确性。这项研究为大语言模型在应对理解和缓解软件漏洞方面的关键挑战上所具备的潜力提供了有价值的见解。
链接:
https://arxiv.org/abs/2412.04756
2. 释放GHOST:一个基于大语言模型的自动化硬件木马设计框架
简介:传统上,将逼真的硬件木马(HT)植入复杂的硬件系统是一个耗时的手动过程,需要对设计有全面的了解,并能梳理错综复杂的硬件描述语言(HDL)代码库。基于机器学习(ML)的方法曾试图使这一过程自动化,但往往面临诸多挑战,比如需要大量的训练数据、学习时间长以及在不同硬件设计场景中的通用性有限等问题。
研究者们通过提出GHOST来应对这些挑战,GHOST是一个利用大语言模型(LLMs)实现快速生成并植入硬件木马的自动化攻击框架。研究者们的研究针对静态随机存取存储器(SRAM)、高级加密标准(AES)和通用异步收发传输器(UART)这三种硬件设计,对三款最先进的大语言模型 ——GPT-4、Gemini-1.5-pro 和 Llama-3-70B 进行了评估。根据研究者们的评估结果,GPT-4 表现出更优性能,其 88.88% 的硬件木马植入尝试都成功生成了可正常工作且可综合的硬件木马。
这项研究还凸显了由大语言模型生成的硬件木马所带来的安全风险,结果显示,由GHOST生成的可综合硬件木马有 100% 都躲过了基于机器学习的硬件木马检测工具的检测。这些结果强调了硬件安全领域迫切需要先进的检测和防范机制,以应对由大语言模型生成硬件木马这一新兴威胁。
链接:
https://arxiv.org/abs/2412.02816
3. 使用Plain Agents进行黑客夺旗赛(CTF)
简介:研究者们通过简单的大语言模型(LLM)智能体设计对一项高中水平的黑客竞赛基准进行了充分测试。具体而言,研究者们利用提示、工具使用以及多次尝试的方法,在 InterCode-CTF(一个颇受欢迎的攻击性安全基准测试)上取得了 95% 的成绩。这一成绩超过了 2024 年冯氏(Phuong)等人所取得的 29% 以及 2024 年阿布拉莫维奇(Abramovich)等人所取得的 72% 的成绩。
研究者们的研究结果表明,当前的大语言模型在攻击性网络安全方面已经超越了高中水平。研究者们发现它们的黑客能力仍未被充分挖掘:研究者们采用的 “推理与规划”(ReAct&Plan)提示策略无需复杂的工程设计或高级操控手段,就能在一到两轮内解决诸多难题。
链接:
https://arxiv.org/abs/2412.02776
4. HackSynth:用于自主渗透测试的大语言模型智能体及评估框架
简介:研究者们引入了 HackSynth,这是一种创新的基于大语言模型(LLM)且具备自主渗透测试能力的智能体。HackSynth 的双模块架构涵盖了一个规划器与一个汇总器,这使得它能够循环往复地生成指令并处理反馈信息。
为了对 HackSynth 进行基准测试,研究者们凭借热门平台 PicoCTF 和 OverTheWire 构建了两套全新的基于夺旗赛(CTF)的基准集。这些基准集收纳了横跨不同领域与难度层级的两百个挑战任务,为评估基于大语言模型的渗透测试智能体搭建起了标准化的框架体系。
基于上述基准,研究者们实施了大量的实验,对 HackSynth 的核心参数予以剖析,其中包含了创造性(如温度和核采样参数)以及令牌利用率等方面。研究者们运用了多个开源与专有大语言模型来测定该智能体的各项能力。实验结果显示,此智能体在采用 GPT-4o 模型时展现出最优的性能表现,其效果甚至超越了 GPT-4o 的系统卡片所给出的预期。
研究者们还针对 HackSynth 行为的安全性与可预测性展开了深入探讨。研究者们的发现彰显了基于大语言模型的智能体在推动自主渗透测试发展进程中的潜在价值,同时也凸显了稳固保障措施的关键意义。HackSynth 及其相关基准均已面向公众开放,旨在推动关于自主网络安全解决方案的深入探究。
链接:
https://arxiv.org/abs/2412.01778
5. 未来之种从FUTURE中萌芽:用于揭示未来深度学习库中漏洞的模糊测试
简介:大语言模型(LLMs)的广泛应用凸显了依赖诸如 PyTorch 和 TensorFlow 等基础深度学习库的深度学习(DL)技术的重要性。尽管这些库具备强大的功能,但它们在可扩展性以及适应大语言模型领域快速发展方面面临挑战。作为回应,苹果和华为等科技巨头正在研发各自的深度学习库,以提升性能、增强可扩展性并保护知识产权。
研究者们意识到确保这些库的安全性至关重要,而模糊测试是一项关键的解决办法。然而,现有的模糊测试框架在目标灵活性、有效测试容易出现漏洞的应用程序编程接口(API)序列以及利用新库中有限的可用信息方面存在困难。
为解决这些局限,研究者们提出了 FUTURE,这是首个专为新推出及潜在的深度学习库量身定制的通用模糊测试框架。研究者们利用 FUTURE来挖掘历史漏洞信息,通过对现有库的深入研究,获取可用于新库检测的关键数据。同时,研究者们对大语言模型进行微调以生成特定的代码,使 FUTURE框架能够更好地适应不同库的特点。这一策略有助于识别新库中的漏洞,并利用从这些新库中获得的见解来增强现有库的安全性,从而形成一个从历史到未来再回到历史的循环。
为评估 FUTURE的有效性,研究者们对三个新推出的深度学习库进行了全面评估。评估结果表明,FUTURE 在漏洞检测、漏洞复现成功率、代码生成有效率以及 API 覆盖范围等方面,显著优于现有的模糊测试工具。尤其值得一提的是,FUTURE在 452 个目标 API 中检测出了 148 个漏洞,其中包括 142 个此前未知的漏洞。在这些漏洞中,有 10 个已被分配了通用漏洞披露(CVE)编号。此外,FUTURE 还在 PyTorch 中检测出了 7 个漏洞,这证明了它反向增强现有库安全性的能力。
链接:
https://arxiv.org/abs/2412.01317
相关文章:
第78期 | GPTSecurity周报
GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区,集成了生成预训练Transformer(GPT)、人工智能生成内容(AIGC)以及大语言模型(LLM)等安全领域应用的知识。在这里,您可以找…...
电容Q值、损耗角、应用
电容发热的主要原因:纹波电压 当电容两端施加纹波电压时,电容承受的是变化的电压,由于电容内部存在寄生电阻(ESR)和寄生电感(ESL).因此电容会有能量损耗,从而产生热量,这…...
【WRF教程第3.6期】预处理系统 WPS 详解:以4.5版本为例
预处理系统 WPS 详解:以4.5版本为例 Geogrid/Metgrid 插值选项详解1. 插值方法的工作机制2. 插值方法的详细说明2.1 四点双线性插值(four_pt)2.2 十六点重叠抛物线插值(sixteen_pt)2.3 简单四点平均插值(av…...
linux 安装redis
下载地址 通过网盘分享的文件:redis-7.2.3.tar.gz 链接: https://pan.baidu.com/s/1KjGJB1IRIr9ehGRKBLgp4w?pwd0012 提取码: 0012 解压 tar -zxvf redis-7.2.3.tar.gz mv redis-7.2.3 /usr/local/ cd /usr/local/redis-7.2.3 安装 make install 修改配置文件 /搜索…...
Linux - rpm yum 工具及命令总结
RPM 概述 定义:RPM(RedHat Package Manager),是一个功能强大的软件包管理系统,用于在 Linux 系统中安装、升级和管理软件包采用系统:主要用于基于 RPM 的 Linux 发行版,如 Red Hat、CentOS、S…...
电子应用设计方案-58:智能沙发系统方案设计
智能沙发系统方案设计 一、引言 智能沙发作为一种融合了舒适与科技的家居产品,旨在为用户提供更加便捷、舒适和个性化的体验。本方案将详细介绍智能沙发系统的设计思路和功能实现。 二、系统概述 1. 系统目标 - 实现多种舒适的姿势调节,满足不同用户的…...
复习打卡Linux篇
目录 1. Linux常用操作命令 2. vim编辑器 3. 用户权限 4. Linux系统信息查看 1. Linux常用操作命令 基础操作: 命令说明history查看历史执行命令ls查看指定目录下内容ls -a查看所有文件 包括隐藏文件ls -l ll查看文件详细信息,包括权限类型时间大小…...
在Ubuntu 22.04 LTS中使用PyTorch深度学习框架并调用多GPU时遇到indexSelectLargeIndex相关的断言失败【笔记】
在Ubuntu 22.04 LTS系统中,已安装配置好CUDA 12.4、cuDNN 9.1.1以及PyTorch环境 export CUDA_VISIBLE_DEVICES0,1,2,3,4,5,6,7 在PyTorch深度学习框架训练调用多GPU时,提示 indexSelectLargeIndex: block: [x, 0, 0], thread: [x, 0, 0] Assertion src…...
qt 类中的run线程
在Qt中,QThread类的run()方法是线程的执行入口,它是由QThread内部自动调用的,而不是用户直接调用。 详细解释: QThread类: QThread是Qt的线程类,提供了用于多线程操作的接口。我们可以创建QThread对象并将…...
Vue3父子组件传属性和方法调用Demo
Vue3父子组件传属性和方法调用Demo 说明目录父组件给子组件传值和方法 父组件给子组件传值-使用defineProps接受父组件属性值父组件给子组件传值-使用defineModel接受父组件v-model值 当子组件只需要接收父组件一个v-model值时,写法1如下:子组件接收单个v-model写法2如下:当子…...
aac怎么转为mp3?操作起来很简单的几种aac转mp3的方法
aac怎么转为mp3?aac格式的优势主要体现在音质和压缩效率,尤其是在较低比特率下,能够实现更清晰的音质,这也是为何许多现代设备和应用偏爱aac格式的原因之一。特别是在手机、平板以及智能音响等设备中,aac文件几乎可以无…...
结合mybatis-plus实现Function获取java实体类的属性名
1、工具类 package com.yh.tunnel.util;import com.baomidou.mybatisplus.core.toolkit.support.SFunction; import com.google.common.base.CaseFormat; import com.yh.tunnel.domain.Plan;import java.lang.invoke.SerializedLambda; import java.lang.reflect.Field; import…...
vue 响应式数据原理
发现宝藏 前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。【宝藏入口】。 Vue 的响应式数据原理是其核心功能之一,它使得 Vue 应用能够自动响应数据的变化,并在数据变化时自动更新…...
android 计算CRC
<?php /** * 将一个字符按比特位进行反转 eg: 65 (01000001) --> 130(10000010) * param $char * return $char */ function reverseChar($char) { $byte ord($char); $tmp 0; for ($i 0; $i < 8; $i) { if ($byte & (1 << $i)…...
Linux tinyproxy 使用教程
简介 Tinyproxy 是一款轻量级 HTTP 代理服务器,使用最少的资源,非常适合硬件有限的系统。尽管体积小,但它可以处理大量流量,而不会出现明显的性能问题。旨在处理简单的代理任务。它通常用于路由网络流量以保护隐私、缓存或访问受…...
局部规划器设计思路
本文参考知乎文章:如何设计局部规划器 0 引言 局部规划器设计通用方法:生成路径——>寻找最优路径——>后处理优化 1 路径生成 四个问题: ① 如果全局路径中突然出现动态障碍物 ② 如果全局路径非常靠近障碍物 ③ 如果全局路径不容易跟踪(B样条平滑) ④ 如果全局…...
数字图像处理技术期末复习
1. 已知图像的分辨率和深度,怎么求图像的存储空间(位,字节,KB)? 题目: 已知图像的分辨率和深度,怎么求图像的存储空间(位,字节,KB)&a…...
UITableView显示数据,增加数据,删除数据及移动数据行
UITableView和html中的table有点类似的,也有header和footer和body,row。下面给出一个demo // // TableViewTestViewController.m // iosstudy2024 // // Created by figo on 2024/12/9. //#import "TableViewTestViewController.h"interfa…...
金智塔科技喜获CCF中国数字金融大会 GraphRAG竞赛二等奖
12月7日,CCF 首届中国数字金融大会GraphRAG竞赛在上海落下帷幕,金智塔科技(团队名称:塔塔向前冲)从众多参赛队伍中脱颖而出,喜获二等奖。 CCF 首届中国数字金融大会由中国计算机学会主办,中国计…...
方案解读:数字化扩展中如何提升多云应用安全能力?
越来越多企业选择上云,拥抱数字化转型。数据显示,在过去一年中,将应用托管至六种不同环境中的企业比例已经翻倍,达到令人震惊的38%。与此同时,应用和流经其的关键数据已成为日益复杂的网络攻击的首选目标,且…...
)
React Native 开发环境搭建(全平台详解)
React Native 开发环境搭建(全平台详解) 在开始使用 React Native 开发移动应用之前,正确设置开发环境是至关重要的一步。本文将为你提供一份全面的指南,涵盖 macOS 和 Windows 平台的配置步骤,如何在 Android 和 iOS…...
Day131 | 灵神 | 回溯算法 | 子集型 子集
Day131 | 灵神 | 回溯算法 | 子集型 子集 78.子集 78. 子集 - 力扣(LeetCode) 思路: 笔者写过很多次这道题了,不想写题解了,大家看灵神讲解吧 回溯算法套路①子集型回溯【基础算法精讲 14】_哔哩哔哩_bilibili 完…...
使用分级同态加密防御梯度泄漏
抽象 联邦学习 (FL) 支持跨分布式客户端进行协作模型训练,而无需共享原始数据,这使其成为在互联和自动驾驶汽车 (CAV) 等领域保护隐私的机器学习的一种很有前途的方法。然而,最近的研究表明&…...
Auto-Coder使用GPT-4o完成:在用TabPFN这个模型构建一个预测未来3天涨跌的分类任务
通过akshare库,获取股票数据,并生成TabPFN这个模型 可以识别、处理的格式,写一个完整的预处理示例,并构建一个预测未来 3 天股价涨跌的分类任务 用TabPFN这个模型构建一个预测未来 3 天股价涨跌的分类任务,进行预测并输…...
将对透视变换后的图像使用Otsu进行阈值化,来分离黑色和白色像素。这句话中的Otsu是什么意思?
Otsu 是一种自动阈值化方法,用于将图像分割为前景和背景。它通过最小化图像的类内方差或等价地最大化类间方差来选择最佳阈值。这种方法特别适用于图像的二值化处理,能够自动确定一个阈值,将图像中的像素分为黑色和白色两类。 Otsu 方法的原…...
PL0语法,分析器实现!
简介 PL/0 是一种简单的编程语言,通常用于教学编译原理。它的语法结构清晰,功能包括常量定义、变量声明、过程(子程序)定义以及基本的控制结构(如条件语句和循环语句)。 PL/0 语法规范 PL/0 是一种教学用的小型编程语言,由 Niklaus Wirth 设计,用于展示编译原理的核…...
【HTML-16】深入理解HTML中的块元素与行内元素
HTML元素根据其显示特性可以分为两大类:块元素(Block-level Elements)和行内元素(Inline Elements)。理解这两者的区别对于构建良好的网页布局至关重要。本文将全面解析这两种元素的特性、区别以及实际应用场景。 1. 块元素(Block-level Elements) 1.1 基本特性 …...
【Java_EE】Spring MVC
目录 Spring Web MVC 编辑注解 RestController RequestMapping RequestParam RequestParam RequestBody PathVariable RequestPart 参数传递 注意事项 编辑参数重命名 RequestParam 编辑编辑传递集合 RequestParam 传递JSON数据 编辑RequestBody …...
分布式增量爬虫实现方案
之前我们在讨论的是分布式爬虫如何实现增量爬取。增量爬虫的目标是只爬取新产生或发生变化的页面,避免重复抓取,以节省资源和时间。 在分布式环境下,增量爬虫的实现需要考虑多个爬虫节点之间的协调和去重。 另一种思路:将增量判…...
均衡后的SNRSINR
本文主要摘自参考文献中的前两篇,相关文献中经常会出现MIMO检测后的SINR不过一直没有找到相关数学推到过程,其中文献[1]中给出了相关原理在此仅做记录。 1. 系统模型 复信道模型 n t n_t nt 根发送天线, n r n_r nr 根接收天线的 MIMO 系…...