全球連通雲公司Cloudflare近日發表網誌,回顧過去數月就其關鍵基礎架構,測試一系列以安全為主的大型語言模型(LLMs)。
攻擊者正縮短其攻擊時間,但防禦者需要的不僅是速度。Cloudflare必須從設計層面加強系統,使攻擊者難以利用系統漏洞發動攻擊,藉此確保這些漏洞的存在不會影響系統被攻破的速度。作為「Project Glasswing」計畫的一部分,Cloudflare 透過 Mythos 模型針對其執行環境、邊緣資料路徑、協議堆疊、控制平面,以及其所依靠的開源專案的實時程式碼進行分析。以下是 Cloudflare 的觀察結果:
最關鍵的分別在於:根據Cloudflare的經驗,其他模型亦能發現部分相同的潛在漏洞或問題,但未能建立完整的攻擊鏈,僅停留在容易的層面,即揭露漏洞。Mythos則能將嚴重程度較低的錯誤(傳統上往往難以被察覺)串聯成更具破壞性的攻擊。
模型拒絕回應並非可靠的安全界線:Mythos 有時會拒絕執行某些操作,但背後原因未有遵從任何我們從模型外部可見的政策。其中一個案例是模型曾拒絕進行漏洞研究,但當我們刪除隱藏的 .git 資料夾後,它卻同意對同一段程式碼進行相同研究。被分析的程式碼內容未有任何改變。
無法採取行動的檢測結果:相關仍需大量人手篩選,才能從眾多誤報中識別真正的漏洞。這些雜訊主要來自程式語言的特性,如 C/C++ 等記憶體不安全語言會觸發更多推測警示。Mythos 存在固有偏見,傾向過度報告潛在問題,令原本有用的探索工具,最終變成人工審核上的沉重負擔。
