谷歌推出 Naptime 项目，用于人工智能漏洞研究

谷歌开发了一个名为Project Naptime的新框架，据称该框架可使大型语言模型 (LLM) 开展漏洞研究，旨在改进自动发现方法。

Google Project Zero 研究人员 Sergei Glazunov 和 Mark Brand表示： “Naptime 架构以 AI 代理与目标代码库之间的交互为中心。代理配备了一套专门的工具，旨在模仿人类安全研究人员的工作流程。”

该计划之所以如此命名，是因为它允许人类“定期小睡”，同时协助进行漏洞研究和自动化变体分析。

该方法的核心是寻求利用 LLM 在代码理解和一般推理能力方面的进步，从而使其在识别和展示安全漏洞时能够复制人类的行为。

它包含多个组件，例如使 AI 代理能够浏览目标代码库的代码浏览器工具、用于在沙盒环境中运行 Python 脚本进行模糊测试的 Python 工具、用于通过不同输入观察程序行为的调试器工具，以及用于监视任务进度的报告器工具。



谷歌表示，根据 CYBERSECEVAL 2 基准测试，Naptime 还与型号和后端无关，更不用说在标记缓冲区溢出和高级内存损坏漏洞方面表现更好。CYBERSECEVAL 2 是 Meta 研究人员于今年 4 月初发布的一款用于量化 LLM 安全风险的评估套件。

在该搜索巨头进行的重现和利用这些漏洞的测试中，这两个漏洞类别获得了新的最高分数，分别为 1.00 和 0.76，高于 OpenAI GPT-4 Turbo 的 0.05 和 0.24。

研究人员表示：“Naptime 使法学硕士能够进行漏洞研究，这种研究与人类安全专家的迭代、假设驱动方法非常相似。”“这种架构不仅增强了代理识别和分析漏洞的能力，而且还确保了结果的准确性和可重复性。”