摘要
物联网(IoT)系统由于硬件受限、固件过时和不安全的默认配置,固有地存在脆弱性,因此迫切需要可扩展和自适应的安全测试方法。尽管最近对大型语言模型(LLM)代理的应用在渗透测试和夺旗(CTF)环境中展现出潜力,但在物联网特定漏洞上的应用仍未被探讨。本文提出了一种自主的多代理框架,称为基于AI代理的漏洞利用(VEXAIoT),用于在物联网环境中利用LLM推理和进攻性安全工具进行漏洞发现和利用。
该框架结合了漏洞检测代理和攻击执行代理,能够进行侦察、规划攻击顺序并对脆弱的物联网服务执行利用。该系统在IoTGoat和Metasploitable环境中进行了评估,涵盖十个与OWASP IoT漏洞相关的攻击场景。实验结果显示,攻击成功率高达100%,大多数攻击的平均执行时间在两分钟以内,且令牌开销较低。在260次攻击执行中,VEXAIoT实现了95.0%的总体成功率,其中IoTGoat的成功率为94.5%,Metasploitable2的成功率为96.7%。这些结果展示了基于LLM的代理在受控环境中自动化物联网漏洞评估和进攻性安全工作流的潜力。
博主点评: VEXAIoT框架的提出为物联网安全测试提供了新的思路,通过结合先进的LLM技术与多代理系统,显著提升了漏洞利用的效率和成功率。这种创新方法在未来的网络安全领域中可能会引领新的趋势,推动自动化渗透测试的发展。希望在实际应用中能进一步验证其有效性和可靠性。