Clouditera.github.io

Clouditera.github.io copied to clipboard

# GGUF模型链接 https://huggingface.co/LingJingMaster/Clouditera-SecGPT-GGUF/blob/main/README.md?code=true ## SecGPT 网络安全大模型 ### **项目** - [GitHub](https://github.com/Clouditera/SecGPT) - [原版Pytorch模型](https://huggingface.co/clouditera/secgpt) ### **简介** - 随着大语言模型的崛起，网安大模型也掀起了一股热潮，本人在逛 GitHub 时偶然发现了云起无垠开源的 SecGPT，但官方调用脚本中使用了 Cuda，且没有提供 GGUF 版本，故使用了 [llama.cpp](https://github.com/ggerganov/llama.cpp) 的 convert 脚本进行转换，并上传至huggingface   ### **测试设备** - MacBook...

LingJingMaster

文档中对于BurpGPT的功能描述中，根据我的了解“自动生成有效的有效负载”和“模糊测试支持”这两点似乎并不是BurpGPT所支持的功能，在BurpGPT官方文档中找到相关说法，也没有看到过类似的应用案例。是否为描述错误？ 参考链接：https://www.gptsecurity.info/security-tools#burpgpt

peiyangL

GPTSecurity是一个涵盖了前沿学术研究和实践经验分享的社区，集成了生成预训练Transformer（GPT）、人工智能生成内容（AIGC）以及大语言模型（LLM）等安全领域应用的知识。在这里，您可以找到关于GPT/AIGC/LLM最新的研究论文、博客文章、实用的工具和预设指令（Prompts）。现为了更好地知悉近一周的贡献内容，现总结如下。 **Security Papers** 1.利用潜在对抗性训练防御未知的故障模式 简介：AI系统在实际应用中可能会展现出开发者未能预见的负面行为，尽管已经进行了彻底的检查和修正。面对众多潜在的攻击手段，全面检测和防范变得极为困难。为了提高AI系统的稳定性，红队测试和对抗性训练被广泛采用，但这些方法并不能完全避免实际应用中的失败。本研究提出了一种创新方法——潜在对抗性训练（LAT），旨在防御那些在不生成特定输入的情况下不易被发现的漏洞。通过在图像和文本分类以及文本生成任务中的实验，研究者验证了LAT的有效性，结果表明LAT在提高系统鲁棒性和性能方面通常比传统对抗性训练更为有效。这显示了LAT在防御开发者未能明确识别的风险方面的潜力。 链接： https://arxiv.org/pdf/2403.05030.pdf 2.ISSF：面向云原生运营的智能安全服务框架 简介：随着微服务架构的普及和AI技术在攻防双方的应用，云原生环境的安全挑战日益增加。云原生操作者需要全面掌握云环境的动态安全状况。本研究基于多智能体深度强化学习，开发了一套智能安全服务框架（ISSF），用于云原生操作。该框架通过动态访问图和动作模型，模拟云环境并表示攻防行为。研究者还提出了一种方法，利用多种深度强化学习算法和策略，训练、发布和评估智能安全服务，促进服务的系统化开发和性能比较。实验结果表明，该框架能有效模拟云系统的安全态势，为攻防双方提供服务开发和优化指导。 链接： https://arxiv.org/pdf/2403.01507.pdf 3. 使用大语言模型进行物联网设备标签化 简介：物联网市场包含多种设备和功能，安全和可观测性系统需实时管理这些设备。现有物联网识别技术依赖于训练阶段已知的设备标签。研究者提出了一种新方法，通过分析网络流量中的文本特征，并结合谷歌搜索数据和供应商目录，自动识别未知物联网设备的供应商和功能。该方法利用大语言模型自动更新设备目录，并实现零样本分类。在对97种设备的测试中，研究者的方法在功能识别上取得了0.7和0.77的准确率，这是首次尝试自动化物联网设备标签化的研究。 链接： https://arxiv.org/pdf/2403.01586.pdf 4. AI蠕虫来袭：释放针对GenAI驱动应用程序的零点击蠕虫 简介：近期，众多公司将生成式AI（GenAI）技术整合到应用中，形成了由GenAI服务驱动的自主代理生态系统。尽管研究已经指出了GenAI代理层的风险，如对话投毒等，但攻击者可能利用GenAI组件发起网络攻击的问题仍然存在。为此，本文介绍了首个针对GenAI生态系统的Morris II蠕虫，它利用对抗性自我复制提示，使GenAI模型在处理输入时复制并执行恶意活动，同时通过生态系统的连接性传播给其他代理。研究者在不同环境下对三种GenAI模型进行了Morris II蠕虫的测试，评估了其传播和复制等性能因素。 链接： https://arxiv.org/pdf/2403.02817.pdf 5.构建一个AI增强的网络威胁情报处理流程 简介：随着网络威胁日益复杂，传统的网络威胁情报（CTI）方法难以应对。人工智能（AI）提供了自动化和增强CTI任务的可能性，从数据处理到弹性验证。本文探讨了将AI融入CTI的潜力，提出了一个AI增强的CTI处理流程，并详细说明了其组成和功能。该流程强调了AI与人类专家合作的重要性，以产生准确及时的网络威胁情报。同时，研究了利用AI自动生成缓解措施，提供实时、相关和预测性见解。然而，AI在CTI中的整合面临伦理、偏见和透明度等挑战。研究者讨论了数据隐私、用户同意和技术滥用的问题，并强调了在CTI分析和AI模型中处理偏见的重要性。最后，本文指出了未来研究方向，如开发先进的AI模型增强网络安全防御和优化人机协作。总体而言，AI与CTI的结合在网络安全领域具有巨大潜力。 链接： https://arxiv.org/ftp/arxiv/papers/2403/2403.03265.pdf 编辑：Fancy

lixiaofangyun

1. Generative AI and ChatGPT Enterprise Risks 简述：许多企业及其员工已经在使用ChatGPT、Bard、PaLM、Copilot和其他生成式人工智能(GenAI)或大型语言模型(llm)，为了简单起见，研究者在本文中将各种技术和模型称为“GenAI”。然而，与任何技术一样，GenAI的使用也会带来一系列安全风险、威胁和影响，组织必须仔细考虑。关于安全风险这块文中做了详细描述，建议可以参照一下。 链接：https://team8.vc/wp-content/uploads/2023/04/Team8-Generative-AI-and-ChatGPT-Enterprise-Risks.pdf 2.Unlocking the Power of Generative AIModels and Systems such asGPT-4 and ChatGPT for Higher Education 简介：ChatGPT是一个令人印象深刻的、易于使用的、可公开访问的系统，它展示了像GPT-4这样的大型语言模型的强大功能。它的应用，有可能彻底改变高等教育的教学和学习。研究者预计在未来几年中，性能将进一步大幅提高，集成到更大的软件系统中，并得到推广。这一技术发展引发了大学教学的巨大不确定性和变化。 链接：https://digital.uni-hohenheim.de/fileadmin/einrichtungen/digital/Generative_AI_and_ChatGPT_in_Higher_Education.pdf

yf-hash

这是我使用Python开发的 主要面向CTF类二进制安全设计的工具：[Ret2GPT](https://github.com/DDizzzy79/Ret2GPT)，通过使用 ChatGPT API + Retdec + Langchain，用户可以通过问答+构造好的Prompt 或者 直接使用以及构造好的Prompt 对 特定二进制文件进行漏洞挖掘 起到一个很好的漏洞挖掘助手的功能! 大概原理如下： 1. 首先应用Retdec来反编译二进制文件成体现文件逻辑信息的Pseudocode 2. 使用Langchains分割较大伪代码文件 之后构造 stuff 文档填充链 准备用户对于问答链 3. 首先ChatGPT使用内置的Prompt来对文件进行大体分析 ChatGPT可以给出文件中危险可能比较高的漏洞点 和文件的逻辑 4. 用户可以输入任何对于二进制文件的具体问题，通过加载精心设计的Prompt+Example结构对ChatGPT进行提问 对文件进行更加深入的探索 5....

retr0reg