Github
文档
论文hackingBuddyGPT 项目介绍
项目背景
hackingBuddyGPT 是一个旨在帮助安全研究人员利用大型语言模型(LLMs)进行安全测试的创新项目。通过使用这个工具,用户可以在 50 行代码或更少中发现新的攻击向量,以提高网络安全性,或挖掘出漏洞赏金。项目的长期目标是通过赋予安全专业人士更多的黑客测试能力,使世界变得更加安全。
项目目标
hackingBuddyGPT 的目标是成为所有对使用 LLMs 或基于 LLM 的自主代理进行安全测试感兴趣的研究人员和渗透测试员的首选框架。为了支持这些实验,项目还提供了可重用的 Linux 特权提升基准,并将所有发现以开放获取的报告形式发布。
项目功能
-
实验用例
hackingBuddyGPT 的实验结构分为多个具体的用例,例如特权提升攻击,允许道德黑客快速编写新的用例(代理)。早期实验通过评估 LLMs 在 Linux 特权提升攻击中的效率为基础,现在也开始评估其在网络渗透测试和 Web API 测试中的应用。 -
现有用例
- 最小化示例:一个用于 Linux 特权提升的 50 行代码示例。
- Linux 特权提升:利用 SSH 连接,任务是将低权限用户提升为 root 用户,是典型的 Linux 特权提升攻击。
- Web 渗透测试(开发中):直接攻击网页,处于预发布阶段。
- Web API 渗透测试(开发中):直接测试 REST API,也处于早期开发阶段。
-
创建自定义代理/用例
用户可以创建自己的 LLM 黑客代理,只需编写少量代码即可实现复杂的系统/LLM 交互。项目提供了多种帮助类和基础类,使得新的实验能够快速实现。
项目的使用与设置
为了简化使用体验,项目尽量减少了 Python 依赖,使得实验更加容易进行。主要包含以下步骤:
- 拥有 OpenAI API 账号并设置必要的 API 密钥。
- 准备一个可通过 SSH 访问的目标机器,可以使用故意存在漏洞的虚拟机。
- 克隆仓库、下载需求文件、设置 API 密钥和凭证并运行主要程序。
项目贡献与支持
如果在使用过程中需要帮助,或者想要讨论有关 AI 在安全或教育中的应用,可以加入项目的 Discord 社区。项目由 TU Wien 的 IPA-Lab 团队和一群学术界与专业渗透测试员共同开发。
项目发布与出版物
hackingBuddyGPT 收到了广泛关注,并在多个会议和研讨会上进行展示。与项目相关的学术论文为该领域奠定了基础,并对项目的研究进行了报告。
使用免责声明
使用 hackingBuddyGPT 攻击未取得同意的目标是非法的,用户有责任遵守所有适用的法律。开发者不对任何因该程序不当使用或损失负责。项目提供的功能仅供教育用途。
hackingBuddyGPT 项目通过结合 AI 的强大技术,对安全研究领域产生了深远的影响,有助于提升整体网络安全水平。
