揭示LLM辅助的网络威胁情报的漏洞

于红博

摘要: 大型语言模型（LLMs）被广泛用于帮助安全分析师对抗网络威胁的迅速利用，LLMs提供网络威胁情报（CTI）以支持漏洞评估和事件响应。尽管最近的研究表明LLMs可以支持广泛的CTI任务，如威胁分析、漏洞检测和入侵防御，但在实际部署中仍存在显著的性能差距。本文研究了LLMs在CTI中的固有漏洞，重点关注的是由于威胁景观本身的特性而产生的挑战，而不是模型架构。通过跨多个CTI基准和真实威胁报告的大规模评估，我们引入了一种新颖的分类方法，该方法集成了分层、自回归改进和人机协同监督，可可靠地分析失败实例。通过广泛的实验和人工检查，我们揭示了三个基本的漏洞：虚假相关性、矛盾知识和受限泛化，这些漏洞限制了LLMs有效支持CTI。随后，我们提供了可行的见解，以设计更健壮的LLM驱动的CTI系统，以促进未来研究。

更新时间: 2025-09-28 02:08:27

领域: cs.CR,cs.AI

下载: http://arxiv.org/abs/2509.23573v1