XiaoMi-AI文件搜索系统
World File Search SystemPentest
Pentest-Report Keepassium iOS应用和加密10.2024
本报告中提出的少量发现在考虑ios iOS应用程序及其加密术的安全性时就可以自身。但是,尽管该应用程序和组件显然是在考虑到安全性的,但Cure53仍然能够发现一些问题,并且建议在实现出色的安全性之前需要解决这些问题。具体来说,这些漏洞之一与解锁密码或密码相关的缺失强度检查有关,并以高严重性对(KEE-01-001)进行排名。建议特别应尽快解决此漏洞。CURE53确定,通过解决和解决此处详细介绍的所有问题,KeepAssium团队将进一步加强iOS的iOS应用程序,并进一步提高其已经非常积极的安全水平。
企鹅:填充加固学习剂的训练框架
摘要:渗透测试(塞)是识别和利用Compoter系统中漏洞以提高其安全性的必要方法。最近,增强学习(RL)已成为一种有希望的方法来创建自主的五旬节剂。然而,缺乏现实的代理训练环境阻碍了有效的基于RL的五型耐药剂的发展。为了解决这个问题,我们提出了pengym,该框架为培训pent pestest的RL代理提供了真实的环境。Pengym使网络发现和基于主机的剥削动作都可以在模拟网络环境中训练,测试和验证RL代理。我们的实验证明了这种方法的可行性,与典型的基于仿真的代理训练相比,主要优势是pengym能够在真实的网络环境中执行实际的五件操作,同时提供合理的训练时间。因此,在pengym中,无需使用假设和概率来对动作进行建模,因为动作是在实际网络中进行的,其结果也是真实的。此外,我们的结果表明,经过企业训练的RL代理平均步骤更少,以达到五旬续的目标 - 在我们的实验中7.72个步骤,而模拟训练的药物的11.95步。
![arxiv:2401.16951v1 [cond-mat.mtrl-sci] 2024年1月30日](/simg/a/ac976b75fbfc6fb0537e43bd89309e7daeef3e75.webp)
arxiv:2401.16951v1 [cond-mat.mtrl-sci] 2024年1月30日
摘要 - LARGE语言模型(LLM)被认为具有自动化安全任务的有希望的潜力,例如在安全操作中心(SOCS)中发现的任务。作为评估这种感知潜力的第一步,我们调查了LLM在软件pentesting中的使用,其中主要任务是自动识别源代码中的软件安全漏洞。我们假设基于LLM的AI代理可以随着时间的推移而改进,因为人类操作员与之互动,可以为特定的安全任务进行特定的安全任务。可以通过第一个步骤来通过工程提示根据产生的响应提示为LLM提供的第一个步骤,以包括相关的上下文和结构,以便模型提供更准确的结果。如果经过精心设计的提示在当前任务上产生更好的结果,也会为未来的未知任务产生更好的结果,则此类工程工作将变得可持续。为了审查这一假设,我们利用OWASP基准项目1.2,其中包含2,740个手工制作的源代码测试案例,其中包含各种类型的漏洞。我们将测试用例分为培训和测试数据,在该数据中,我们根据培训数据(仅)来设计提示,并在测试数据上评估最终系统。我们将AI代理在测试数据上的性能与没有及时工程的代理商的性能进行了比较。我们还将AI代理的结果与Sonarqube的结果进行了比较,Sonarqube是一种用于安全测试的静态代码分析器。结果表明,使用LLMS是一种可行的方法,用于构建用于填充软件的AI代理,可以通过重复使用和及时的工程来改进。我们使用不同的现成的LLMS(Google的Gemini-Pro)以及OpenAI的GPT-3.5-Turbo和GPT-4-Turbo(带有聊天完成和Assistant Apis)构建并测试了AI代理的多个版本。