Google 開發了一個名為 Project Naptime 的新框架,旨在利用大型語言模型(LLM)進行漏洞研究,並且改進自動化漏洞發現的方法。Google Project Zero 的研究人員 Sergei Glazunov 和 Mark Brand 解釋道:「Naptime架構是以AI 代理和目標代碼庫之間的互動為核心。這個代理配備了一系列專門設計的工具,模仿人類資安研究人員的工作流程。」
該計劃之所以命名為 Naptime,是因為它允許人類在進行漏洞研究和自動變體分析時「小睡片刻」。這種方法旨在利用 LLM 在代碼理解和推理能力方面的進步,使它們在識別和展示安全漏洞時能夠模仿人類的行為。
Naptime架構的關鍵組件包括:
- 代碼瀏覽工具 - 允許AI代理可以瀏覽目標代碼庫,類似於工程師使用Chromium代碼搜索的方式
- Python工具 - 在沙箱環境中運行Python腳本
- 調試器工具 - 觀察不同輸入下的程序行為
- 報告工具 - 監控任務進度
CYBERSECEVAL 2是由Meta的研究人員在今年四月發布的一套評估套件,用於量化LLM的安全風險。Google 在複製和攻擊漏洞的兩個弱點類別的測試中取得了0.05和0.24,分別遠超過OpenAI GPT-4 Turbo的最新高分1.00和0.76。
研究人員總結道:「Naptime 使大型語言模型能夠進行漏洞研究,其過程能夠執行與人類資安專家的迭代、基於假設的方法非常相似的漏洞研究。這種架構不僅增強了代理識別和分析漏洞的能力,還確保了結果的準確性和可複製性。」
本文轉載自The Hacker News