Google đã phát triển một khuôn khổ mới gọi là Project Naptime cho phép một mô hình ngôn ngữ lớn (LLM) thực hiện nghiên cứu lỗ hổng với mục đích cải thiện các phương pháp khám phá tự động.
"Kiến trúc Naptime tập trung vào sự tương tác giữa một tác nhân AI và một cơ sở mã mục tiêu", các nhà nghiên cứu Sergei Glazunov và Mark Brand của Google Project Zero cho biết. "Đặc vụ được cung cấp một bộ công cụ chuyên dụng được thiết kế để bắt chước quy trình làm việc của một nhà nghiên cứu an ninh con người."
Sáng kiến này được đặt tên như vậy vì thực tế là nó cho phép con người "ngủ trưa thường xuyên" trong khi nó hỗ trợ nghiên cứu lỗ hổng và tự động hóa phân tích biến thể.
Cách tiếp cận, cốt lõi của nó, tìm cách tận dụng những tiến bộ trong việc hiểu mã và khả năng suy luận chung của LLM, do đó cho phép chúng tái tạo hành vi của con người khi xác định và chứng minh các lỗ hổng bảo mật.
Nó bao gồm một số thành phần như công cụ Trình duyệt mã cho phép tác nhân AI điều hướng qua cơ sở mã đích, công cụ Python để chạy các tập lệnh Python trong môi trường hộp cát để làm mờ, công cụ Trình gỡ lỗi để quan sát hành vi chương trình với các đầu vào khác nhau và công cụ Trình báo cáo để theo dõi tiến trình của tác vụ.
Google cho biết Naptime cũng là mô hình bất khả tri và phụ trợ, chưa kể tốt hơn trong việc gắn cờ tràn bộ đệm và lỗi tham nhũng bộ nhớ nâng cao, theo điểm chuẩn CYBERSECEVAL 2. CYBERSECEVAL 2, được phát hành vào đầu tháng 4 này bởi các nhà nghiên cứu từ Meta, là một bộ đánh giá để định lượng rủi ro bảo mật LLM.
Trong các thử nghiệm được thực hiện bởi gã khổng lồ tìm kiếm để tái tạo và khai thác các lỗ hổng, hai loại lỗ hổng đã đạt được điểm số cao nhất mới là 1,00 và 0,76, tăng từ 0,05 và 0,24, tương ứng cho OpenAI GPT-4 Turbo.
"Naptime cho phép LLM thực hiện nghiên cứu lỗ hổng bắt chước chặt chẽ cách tiếp cận lặp đi lặp lại, dựa trên giả thuyết của các chuyên gia bảo mật con người", các nhà nghiên cứu cho biết. "Kiến trúc này không chỉ tăng cường khả năng xác định và phân tích các lỗ hổng của tác nhân mà còn đảm bảo rằng kết quả là chính xác và có thể tái tạo."