花费1500美元测试：大语言模型能否成功入侵漏洞应用？

一名安全研究人员近期开展了一项极具挑战性的实验：他专门构建了一个包含多种安全漏洞的应用程序，并投入1500美元的成本，旨在测试当前主流的大语言模型（LLMs）是否具备自动发现并利用这些漏洞进行攻击的能力。

在网络安全领域，利用AI进行自动化漏洞挖掘（Bug Hunting）和渗透测试一直是业界关注的焦点。此次实验不仅是对LLM代码分析能力的压力测试，更揭示了AI在网络攻防不对称战争中的潜在角色。实验涵盖了从简单的注入漏洞到复杂的逻辑缺陷，研究者通过对比不同模型的表现，探讨AI在执行多步攻击链（Attack Chain）时的推理能力及其在面对防御机制时的突破点。

这一尝试凸显了生成式AI在提升软件安全性（通过辅助修复漏洞）与增加安全风险（降低黑客攻击门槛）之间的双刃剑效应。随着模型推理能力的增强，如何构建更强健的AI安全护栏，以防止LLM被恶意利用于大规模自动攻击，已成为技术社区亟待解决的关键问题。

来源： HackerNews 报告