RapidPen: AIエージェントによるペネトレーションテスト 初期侵入全自動化の研究

Transcript

1. RapidPen: AIエージェントによるペネトレーションテスト 初期侵入全自動化の研究 Security & Development Lab 中谷 翔 (@laysakura)

2. 背景 ペネトレーションテスト

3. 貢献 やったこと・新規性 • ﾍﾟﾈﾄﾚｰｼｮﾝﾃｽﾄ自動化ツールRapidPenを開発 ◦ AIエージェントによる創造性 ◦ ｵﾌｪﾝｼﾌﾞｾｷｭﾘﾃｨ専門知の活用による職人芸 • 新規性

   ◦ 高速な完全自動初期侵入 (IP-to-Shell) ▪ 人間の介在を排する強力なタスク計画と実行

4. ユースケース 先行研究と本研究の比較 ターゲットユーザー プロのペンテスター (支援) ペンテスト知識ない開発者 (委託) プロのペンテスター (支援・委託)

5. 手法 AIエージェントで全自動化

6. 手法 AIエージェントで全自動化

7. 先行研究 との比較・差分 (1/2)

8. 先行研究 との比較・差分 (2/2)

9. 評価 HackTheBox Legacyマシンへの初期侵入 (内訳気にせずOK) 6回成功/10試行 実行時間 200~400秒程度で侵入成功 コスト ($) 0.6$

   弱で侵入成功

10. 今後の課題

11. 発表 したもの 何・リンク QRコード 本スライド デモ動画 (HTB Legacyマシンに 初期侵入する経過・結果) 論文

    (arXivプレプリント) 何・リンク QRコード Webサイト (RapidPenの紹介・ニュース) OSS: wish (RapidPenのAct部分を 切り出して人間が使う ようにしたLLMシェル)

12. 参考文献 [1] Deng, Gelei, et al. "PentestGPT: Evaluating and harnessing

    large language models for automated penetration testing." 33rd USENIX Security Symposium (USENIX Security 24). 2024. [2] 高江洲 勲, 一ノ瀬 太樹, "BLADE：自律AIエージェントを活用したペ ネトレーションテスト自動化の試み," AVTOKYO 2024. [3] Yao, Shunyu, et al. "ReAct: Synergizing reasoning and acting in language models." arXiv preprint arXiv:2210.03629 (2022).

13. アンケートご回答お願いします！