墨云科技合伙人彭逍遥先生发表了题为《AI赋能下的自动化攻防》的精彩演讲,从底层技术的角度,深入探讨了AI在小模型时代和大模型时代如何赋能自动化攻防实践,同时展望了未来发展的三大趋势,为与会者提供了一场内容丰富、视角独特的技术分享。
近日,安全极客和Wisemodel社区联合举办了“AI+Security”系列的首场线下活动,聚焦于“大模型与网络空间安全的前沿探索”这一前沿主题。在此次活动中,墨云科技合伙人彭逍遥先生发表了题为《AI赋能下的自动化攻防》的精彩演讲,从底层技术的角度,深入探讨了AI在小模型时代和大模型时代如何赋能自动化攻防实践,同时展望了未来发展的三大趋势,为与会者提供了一场内容丰富、视角独特的技术分享。
Cyber Kill-Chain是一个六阶段的网络攻击模型,它不仅帮助我们理解攻击者的行为,还指导我们如何预防这些攻击。理论上,越早在Cyber Kill-Chain中采取行动,就越能有效阻止攻击。在AI小模型时代,人工智能(AI)在侦查、漏洞利用、安装植入和命令与控制阶段发挥了重要作用,显著提升了自动化攻防的能力。
彭逍遥先生指出,在小模型时代,知识图谱在数据驱动的行为中扮演着关键角色。通过定义IP资产、端口与服务、漏洞、数据、工具等数据实体,并构建攻击技战术的知识库,AI能够表达和利用这些实体之间的关系,形成完整的攻击技战术。这不仅包括触发攻击的前置条件,还包括具体利用的漏洞和工具,使得攻击路径更加精准和高效。
AI在小模型时代的一个关键应用是攻击路径决策。通过总结安全专家的渗透经验,自动化决策模型能够识别和梳理现有的资产信息,发现最优的攻击路径,实现在没有人类干预的情况下进行网络渗透攻击。这种方法大大减少了手动渗透测试的时间和成本,提高了攻击效率。攻击路径决策的实施涉及多个维度的提取和智能决策模型的应用。例如,决策模型需要考虑如何选择攻击目标、如何应用历史攻击数据、以及如何适应不断更新的攻击组件等因素。
如下图所示,彭逍遥先生通过3个精心挑选的应用案例,深入阐释了在大模型兴起之前,AI在安全领域攻击端的赋能应用。他指出,在小模型时代AI模型各自承担着特定的角色,独立完成各自的攻击任务,这种“一对一”的应用策略意味着每个模型都是为特定的攻击场景量身定制的,通过专门的设计和训练,以确保在面对复杂多变的安全挑战时,能够提供精确且高效的解决方案。而且,通过持续的模型训练,人工智能系统能够不断学习并适应新的环境,有效弥补了传统规则驱动系统在面对快速变化场景时的局限性。这一训练过程不仅提升了AI模型的适应性和灵活性,同时也显著增强了其在安全领域攻击端的效能,使其能够更加高效地应对各类安全威胁。
在大模型时代,AI赋能的自动化攻防技术取得了显著进步,展现出更强的智能化和自动化能力。AI技术不仅能够自主完成复杂任务,还能通过大规模数据学习和高级推理来优化攻击决策。
首先,AUTO_GPT是一种AI智能体,能够自主执行复杂任务,减少人为干预。它能够根据任务需求自动生成攻击计划、执行渗透测试,并根据目标系统的防御机制调整策略。同时,大模型智能体(LLM Agents)也发挥着重要作用,它们能够利用0day漏洞,即在漏洞被披露的当天就进行攻击。借助大规模语言模型的理解和生成能力,LLM智能体能够快速分析漏洞信息,并制定执行攻击计划。
在大模型时代的攻击决策中,基于ATT&CK模型和CTI(结构化威胁信息表达式)的方法得到广泛应用。ATT&CK模型详细描述了攻击者的行为和技术,而CTI提供了结构化的威胁情报数据。结合这两者,AI能够更精准地进行攻击决策,选择最有效的攻击手段。
Vuls-Mapping技术允许大模型将漏洞描述转化为结构化的ATT&CK模型技术。这种方法使AI能够数据驱动地进行行为分析和攻击决策,提高攻击成功率。为了优化攻击策略,大模型时代还引入了t-SNE数据降维与可视化方法。t-SNE是一种高维数据降维技术,能够将复杂的攻击前置条件和参数可视化,帮助安全专家直观比较和优化不同的攻击策略。
在大模型时代,人工智能(AI)的应用已经扩展到了Web漏洞分析、多模态模型和逻辑漏洞分析等多个领域,极大地提高了自动化攻防的效率和智能化水平。
-
在Web漏洞分析方面,AI展现出了卓越的理解和分析能力。通过深入分析JavaScript注入、事件触发机制、输出结果以及HTTP报文,AI能够精准识别Web应用中的安全漏洞,并利用这些漏洞进行有效的攻击。
-
多模态模型的应用则进一步增强了AI的工程化能力。这些模型能够从人的视角出发,理解和解决复杂的工程问题。例如,开源的大模型能够深入理解页面的功能,识别填充内容和接口功能,从而提高攻击的精准度。
-
逻辑漏洞分析是大模型时代的另一个重要应用领域。利用RAT技术(如CoT和RAG的协同提示策略),AI能够进行复杂的逻辑漏洞分析,识别系统中潜在的安全威胁。这种分析能力对于提前发现并防范攻击至关重要。
在分享尾声,彭逍遥先生结合当前大模型的应用和未来发展趋势,提出了自动化攻防未来的三大趋势:
-
逻辑漏洞处理:在未来的自动化攻防领域中,逻辑漏洞将成为一个重要的关注点。这些漏洞通常隐藏在软件的深层逻辑中,难以通过传统方法发现和利用。AI将利用更先进的模型和算法,自动识别这些复杂的逻辑漏洞,并提供相应的修复方案。
-
防御对抗技术:随着攻击技术的不断进步,防御技术也需要持续升级以应对新的威胁。AI将在这一过程中扮演关键角色,通过模拟攻击者的策略和防御者的对策,不断优化安全策略,从而提高整体的防护水平。
-
智能工具编写:AI将继续赋能安全工具的开发和优化。未来的安全工具将能够自动适应不同的攻击场景和目标,这将极大提高工具的使用效率和效果,使安全专家能够更快速、更精准地应对各种安全挑战。
人工智能技术,尤其是大模型的广泛应用,为自动化攻防领域带来了新的机遇和挑战。通过AI赋能,安全防护的效率和准确性得到了显著提升。然而,当前技术仍存在一些局限,需要进一步研究和完善。未来,随着技术的不断进步,AI将在自动化攻防中发挥越来越重要的作用,助力我们构建更加安全的网络环境。
“AI+Security”系列第二期专题分享嘉宾火热征集中。我们诚挚邀请来自人工智能(AI)和网络安全领域的行业专家与领军人物,共同参与分享。一起深入探讨并分享关于”AI+Security”技术理念的见解和经验。我们期待您的加入,一起推动AI与安全技术的融合与创新。