Getting pwn’d by AI: Penetration Testing with Large Language Models

要約

ソフトウェア セキュリティ テスト、より具体的には侵入テストの分野は、高度な専門知識が必要な作業であり、手動によるテストと分析の手順が多く含まれます。
このペーパーでは、AI スパーリング パートナーとペネトレーション テスターを強化するための、GPT3.5 などの大規模言語モデルの潜在的な使用方法を検討します。
私たちは、セキュリティ テスト割り当てのための高レベルのタスク計画と、脆弱な仮想マシン内での低レベルの脆弱性探索という 2 つの異なるユース ケースに対して、ペネトレーション テスターを AI モデルで補完する実現可能性を調査します。
後者の場合、LLM が生成した低レベルのアクションと脆弱な仮想マシン (SSH 経由で接続) の間に閉フィードバック ループを実装し、LLM がマシンの状態の脆弱性を分析し、内部で自動的に実行される具体的な攻撃ベクトルを提案できるようにしました。
仮想マシン。
私たちは、有望な初期結果、改善に向けた詳細な道筋について話し合い、AI ベースのスパーリング パートナーを提供する倫理について綿密に審議します。

要約(オリジナル)

The field of software security testing, more specifically penetration testing, is an activity that requires high levels of expertise and involves many manual testing and analysis steps. This paper explores the potential usage of large-language models, such as GPT3.5, to augment penetration testers with AI sparring partners. We explore the feasibility of supplementing penetration testers with AI models for two distinct use cases: high-level task planning for security testing assignments and low-level vulnerability hunting within a vulnerable virtual machine. For the latter, we implemented a closed-feedback loop between LLM-generated low-level actions with a vulnerable virtual machine (connected through SSH) and allowed the LLM to analyze the machine state for vulnerabilities and suggest concrete attack vectors which were automatically executed within the virtual machine. We discuss promising initial results, detail avenues for improvement, and close deliberating on the ethics of providing AI-based sparring partners.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google