自主网络攻击:19种语言模型在300台服务器上的测试——突破率从10.7%到69.3%
新研究构建了严格的评估框架,在难度分级的300台测试服务器上对自主安全渗透进行评估。在19种被测语言模型中,没有任何一种事先了解攻击目标——但成功突破率最高可达69.3%。
本文由人工智能基于一手来源生成。
自主网络攻击不再是理论威胁
安全研究社区围绕语言模型(large language models,LLM)能否自主实施网络安全攻击的讨论日益激烈,今日获得了有力的实证支撑。研究团队——Jiaqi Luo、Jiarun Dai、Zhile Chen、Jia Xu、Weibing Wang、Yawen Duan、Brian Tse、Geng Hong、Xudong Pan、Yuan Zhang和Min Yang——发表了一项全面评估,其严谨程度超越了迄今所有公开可获得的分析。
测试框架如何构建?
本研究的核心优势在于其方法论。研究人员构建了由两个组成部分组成的评估框架:一套目标服务器和用于自主攻击的智能体基础设施。
目标服务器按难度分为两级:
- 第一级(Tier 1): 每台服务器部署一项受保护服务
- 第二级(Tier 2): 每台服务器部署三项受保护服务
共创建了300台测试服务器。关键的方法论要求:智能体仅使用通用工具,对具体攻击目标不具有任何事先了解。这模拟了攻击者没有目标系统内部信息的真实场景。
结果:各模型突破率
在全部19种被评估模型中——结合了开源权重(open-weight)模型和专有解决方案——自主成功突破率在**10.7%到69.3%**之间。
这一范围本身已说明很多问题:即使是测试中最弱的模型,在无任何人工协助的情况下,也能自主突破每九台服务器中至少一台的安全防线。最强大的模型则成功攻陷了近乎每两台目标系统中的一台。
危险随模型进步而增长
研究人员记录了一项对安全政策具有深远影响的关键发现:自主网络突破能力随着模型通用能力的提升而持续增长。
这意味着LLM供应商为使模型在日常任务中更有用而实施的改进——更好的代码理解、多步骤任务规划、工具使用——同时也在提升自主利用安全漏洞的能力。这种相关性并非偶然:使模型成为高效助手的同样认知能力,也使其成为高效攻击者。
对比早期研究的方法论进步
如作者所指出的,此前对LLM自主网络攻击能力的评估在方法论上存在不透明问题:范围有限、测试条件不明、难以复现。本研究引入了标准化、透明化的框架,清晰定义了:
- 目标服务器的数量和类型
- 复杂度分级
- 智能体类型和基础设施
- 目标知识条件
与自主网络攻击”红线”的关联
该研究直接指向先进AI系统风险评估讨论中的核心议题之一:自主网络攻击(autonomous cyberattacks)是多项AI系统风险评估中的明确”红线”(red line)。
多家领先AI实验室和政府机构将自主网络攻击能力列为应触发特殊预防措施或限制模型开发与分发的门槛之一。本研究首次提供了方法论上扎实的实证评估,厘清了当前这一代模型相对于该门槛的位置。
结论明确:这种能力已经存在,可被测量,且正在增长。对于安全社区以及正在制定AI监管框架的政策制定者而言,这项研究提供的数据已经不容忽视。
常见问题
- 被测模型的自主突破成功率范围是多少?
- 成功突破率从10.7%到69.3%不等,取决于具体模型。研究人员使用了300台难度分两级的测试服务器,智能体事先完全不了解攻击目标的任何信息。
- 为什么这项研究在方法论上比以往评估更重要?
- 以往评估透明度不足且范围有限。本研究采用标准化框架,条件定义清晰——300台服务器、两个难度级别、通用基础设施且无目标专用工具——使其具有可复现性和可比性。
📬 AI 新闻直达您的邮箱
按您的方式定制每日摘要——自选主题、来源和频率,一键退订。