目录
大型语言模型(LLMs)逐渐在各个领域占据一席之地,包括高度战略性的网络安全领域。那么,它们到底带来了哪些实际变化?纽约大学的研究人员进行了一项跨学科研究,精确且雄心勃勃地描述了这种融合现状,并提出了一份具体的行动路线图。解读如下。
具备预测、分析和行动能力的模型
LLMs在网络安全中的首要贡献显而易见:它们可以大规模利用此前未充分利用的文本数据,如事件报告、威胁情报流(CTI)或系统日志。结果是,能够更快速地检测漏洞、攻击和可疑行为,并具备生成摘要、分类事件或建议行动的能力。
LLMs还可以被专业化:像SecureBERT这样的模型在网络安全语料库上训练,比通用模型提供了更好的结果。不过,必须正确地对其进行微调,使用设计良好的提示和相关数据——这种专业技能在企业中仍然稀缺。
5G网络的安全保护:人工智能的援助
报告还强调了LLMs在测试5G网络安全性方面的价值,这些网络在预加密阶段往往保护不足。两种方法共存:
自上而下:从成千上万页的技术规范中提取规则。
自下而上:直接分析流量以识别异常。
在这两种情况下,LLMs可以自动生成测试用例,模拟模糊测试攻击,并发现难以手动检测的漏洞。
迈向新一代自主网络安全代理
研究强调了“基于LLM”代理的出现,这些代理不仅能分析威胁,还能进行推理、规划并与环境互动。通过增强检索生成(RAG)或图形-RAG等技术,这些代理可以交叉多个来源以生成复杂且上下文相关的响应。
更好的是:通过将这些代理组织为多代理系统(或通过元代理),可以覆盖攻击响应周期的所有阶段:检测、分析、反应、补救。
培训、模拟、安全:教学用途逐渐明确
另一项显著创新是LLMs在网络安全培训中的应用。实验课程已经进行:它们整合了代码总结、漏洞检测、威胁情报以及人工智能辅助的社会工程。六个关键教训浮现:创造力、可移植性、怀疑态度、灵活性、安全性和成本。
在自动化与人类警惕之间
但请注意:LLMs并非万能药。其缺乏一致性、幻觉倾向、统计偏差,甚至易受“越狱”攻击(绕过保护机制)的脆弱性都要求有强有力的保护措施。
因此,报告建议采取一种混合方法:将LLMs与人类结合在一起,进行多重验证,专门化模型而非追求单一模型,并引入强大的控制和审计机制(区块链、信任度量等)。
为网络安全构建可信的人工智能
研究人员强调三个支柱以构建可信的人工智能:
可解释性:模型的决策必须是可理解的。
鲁棒性:它们必须能够抵御变化和对抗性攻击。
公平性:避免偏见,特别是在司法或金融等敏感领域。
他们的目标:确保人工智能不是新的风险,而是增强组织应对日益复杂威胁的持久性资产。
研究参考:arXiv:2505.00841v1
Pour mieux comprendre
<span dir="ltr">Retrieval-Augmented Generation (RAG)<\/span> 是什么,以及它如何用于自主网络安全代理?
<span dir="ltr">Retrieval-Augmented Generation (RAG)<\/span> 是一种将文本生成与信息检索系统结合以生成情境化响应的技术。在网络安全中,它使自主代理能够从多个来源访问并整合信息,以制定针对已识别威胁的定制响应。
为什么为网络安全训练专用LLM比使用通用模型更重要?
专用LLM,如SecureBERT,是在特定于网络安全的数据语料库上训练的,使其能够更好地理解和识别该领域特有的威胁。通用模型通常缺乏处理复杂安全问题所需的深度,可能会错过检测网络攻击所需的细微差别。