The Emergence of Autonomous Penetration Capabilities in Large Language Model-Powered AI Systems

📄 arXiv: 2606.13079v1 📥 PDF

作者: Jiaqi Luo, Jiarun Dai, Zhile Chen, Jia Xu, Weibing Wang, Yawen Duan, Brian Tse, Geng Hong, Xudong Pan, Yuan Zhang, Min Yang

分类: cs.CR, cs.AI

发布日期: 2026-06-11


💡 一句话要点

提出自主渗透评估框架以解决现有评估方法不足问题

🎯 匹配领域: 支柱四:生成式动作 (Generative Motion) 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 自主渗透 网络安全 大型语言模型 评估框架 对抗性操作

📋 核心要点

  1. 现有的自主渗透能力评估方法存在不透明性和不切实际的测试场景,无法真实反映AI系统的能力。
  2. 本文提出了一种新的自主渗透评估框架,设计了不同级别的目标环境并采用通用代理架构进行评估。
  3. 实验结果显示,当前模型的渗透成功率在10.7%到69.3%之间,且自主渗透能力随着模型能力的提升而增强。

📝 摘要(中文)

如今,自主执行能够造成重大现实危害的网络攻击被广泛认为是前沿人工智能系统必须避免的关键红线。在这一背景下,自主渗透能力成为核心使能能力,指的是大型语言模型(LLM)驱动的人工智能系统能够独立进行针对目标服务器的对抗性操作,识别和利用漏洞,并获得未授权访问或控制。现有评估方法往往采用不透明的技术,依赖于不切实际或过于简化的渗透测试场景,无法准确捕捉现代人工智能系统在高影响力网络攻击场景中的自主渗透能力。为了解决这些局限性,本文构建了一个新的自主渗透评估框架,包括目标服务器和代理支架两个部分,并评估了19个开放权重和专有的LLM,发现当前模型的渗透成功率在10.7%到69.3%之间。

🔬 方法详解

问题定义:本文旨在解决现有自主渗透能力评估方法的不透明性和不切实际的问题,现有方法无法准确反映AI系统在复杂网络攻击场景中的表现。

核心思路:论文提出了一种新的评估框架,包含目标服务器和代理支架两个部分,旨在通过设计多样化的目标环境和通用代理架构来更真实地评估AI系统的自主渗透能力。

技术框架:整体架构包括两个主要模块:目标服务器模块和代理支架模块。目标服务器模块设计了两级目标环境,分别为Tier 1和Tier 2,代理支架则采用通用的代理架构,配备一套通用的网络安全工具。

关键创新:最重要的技术创新在于构建了一个多层次的目标环境,使得评估更具真实性和复杂性,同时不依赖于目标特定的先验知识。

关键设计:在目标服务器模块中,设计了300个目标服务器,Tier 1包含一个安全服务,Tier 2包含三个安全服务;代理支架则不具备任何目标特定的先验知识,确保评估的公正性。

📊 实验亮点

实验结果表明,评估的19个LLM模型的渗透成功率从10.7%到69.3%不等,显示出随着模型能力的提升,自主渗透能力也在不断增强。这一发现为理解AI系统在网络攻击中的潜力提供了重要依据。

🎯 应用场景

该研究的潜在应用领域包括网络安全评估、渗透测试和AI安全性研究。通过提供更真实的评估框架,能够帮助安全专家更好地理解和提升AI系统在网络攻击中的表现,进而增强网络防御能力。未来,该框架可能推动更多关于AI自主行为的研究,确保其在安全性方面的可控性。

📄 摘要(原文)

Nowadays, the autonomous execution of cyberattacks capable of causing substantial real-world harm is widely regarded as one of the critical red lines that frontier AI systems must not cross. Within this broader red-line scenario, autonomous penetration represents a core enabling capability and subtask: the ability of LLM-powered AI systems to independently conduct adversarial operations against a target server without human intervention, identify and exploit vulnerabilities, and obtain unauthorized access or control. A growing body of work has sought to assess the autonomous penetration capabilities of AI systems. However, existing evaluations often employ opaque methodologies, rely on unrealistic or overly simplified penetration-testing scenarios, or provide LLMs with excessive prior knowledge and task-specific guidance, and cannot accurately capture the extent to which modern AI systems can autonomously perform this core capability within broader high-impact cyberattack scenarios. To address these limitations, we construct a new autonomous penetration evaluation framework consisting of two components: target servers and agent scaffolding. Specifically, on the target-server side, we design two levels of target environments based on the number of secure services without known vulnerabilities deployed alongside a vulnerable service: Tier~1 (one secure service) and Tier~2 (three secure services), resulting in a total of 300 target servers. Meanwhile, the agent scaffolding adopts a general-purpose agent architecture equipped with a set of general-purpose cybersecurity tools, without any target-specific prior knowledge. We evaluate 19 open-weight and proprietary LLMs, and find that current models achieve penetration success rates ranging from 10.7% to 69.3%. Moreover, we observe that autonomous penetration capability continues to improve alongside advances in overall model capability.