- 简介到2028年,大多数网络安全操作将实现自主化,而人类则负责远程操控。我们首次提出了网络安全领域的自主性等级分类,并介绍了网络安全AI(CAI),这是一个开源框架,通过专业的人工智能代理,使高级安全测试得以普及。通过严格的实证评估,我们证明了CAI在CTF基准测试中始终超越现有最先进技术,在各类挑战中表现出显著更高的效率——在特定任务中比人类快3,600倍,整体平均快11倍。CAI在“AI对人类”CTF现场挑战赛中,在AI团队中排名第一,并在全球范围内获得前20名,赢得了750美元的奖金。基于我们的研究结果,我们认为某些大型语言模型供应商关于其有限安全能力的说法并不准确。除了在网络安全竞赛中的表现,CAI还展示了其在现实世界中的有效性:在短短一周内,它在“Hack The Box”平台上排名西班牙前30、全球前500,同时将安全测试成本平均降低了156倍。我们的框架超越了理论基准,通过模块化的代理设计、无缝的工具集成以及人类监督(HITL),使非专业人士也能以与专家相当的效率发现重大安全漏洞(CVSS评分4.3-7.5)。通过这种方式,CAI填补了市场上的关键空白,为各种规模的组织提供了以前只有资源丰富的公司才能获得的、由AI驱动的漏洞赏金安全测试服务,从而挑战了目前由主要漏洞赏金平台主导的寡头生态系统。
- 图表
- 解决问题论文试图解决当前网络安全测试中对专业人员依赖过高、成本高昂以及资源分配不均的问题。这是一个重要但尚未完全解决的问题,特别是在将高级安全测试能力普及到中小型组织方面。
- 关键思路论文提出了一种名为Cybersecurity AI (CAI) 的开源框架,通过结合模块化AI代理设计、无缝工具集成和人类在环(HITL)机制,实现高效的自主网络安全测试。相比传统方法,CAI不仅大幅提升了效率(最高3,600倍),还显著降低了成本(平均156倍)。这种方案突破了以往仅限于大型企业的高端安全测试限制,为中小型企业提供了可及性。
- 其它亮点论文展示了CAI在CTF基准测试中的卓越表现,例如在特定任务上比人类快3,600倍,并在全球‘AI vs Human’CTF挑战赛中获得前20名。此外,CAI在Hack The Box平台上的快速排名提升(一周内进入全球前500)证明了其实际应用价值。该框架还支持非专业人士发现高危漏洞(CVSS评分4.3-7.5),并提供开源代码以促进社区发展。未来可以进一步研究如何优化AI代理的泛化能力和扩展至更复杂的攻击场景。
- 相关工作包括:1) ‘DeepExploit: Fully Automatic Offensive Security Testing with Deep Reinforcement Learning’,探索使用深度强化学习进行自动渗透测试;2) ‘AlphaRed: Automated Systematic Vulnerability Detection via Reinforcement Learning’,利用强化学习检测系统漏洞;3) ‘NeuralBugHunter: A Neural Network Approach to Bug Discovery’,采用神经网络方法发现软件漏洞。这些研究共同推动了AI在网络安全领域的应用,但CAI的独特之处在于其开源性和对中小型企业的适用性。
沙发等你来抢
去评论
评论
沙发等你来抢