认证 AI/ML 渗透测试人员 (C-AI/MLPen) 审核

阅读约需 4 分钟

天网最好小心……

我辛苦奋斗的证书……

本周之前,我什至不知道这个存在。我一直在随意寻找任何方法来证明我已经获得了破解生成人工智能和法学硕士应用程序的一套特定技能,但无济于事。

然后,有一天,我随意滚动我的 LinkedIn feed,发现了这一点:

认证 AI/ML 渗透测试人员 (C-AI/MLPen) – 审查

简介 我最近接受了 SecOps Group 的 AI/ML Pentester 认证的挑战,以推动自己……

www.linkedin.com

你瞧,SecOps Group 早在 7 月份就推出了这项认证!我立即跳了上去。基础价格为 250.00 英镑(折扣后为 328.25 美元,折扣后为 66 美元),80% 的折扣实在是不容错过。我不得不买一张优惠券。

还值得注意的是,您可以免费重考一次,并且每次购买您的优惠券都是终身有效的

“但是凯尔文,”你说,“如果你这周刚刚听说认证,你做了什么类型的准备工作?”

嗯,我基本上花了 2024 年的大部分时间来学习如何:

  1. 让法学硕士泄露敏感数据
  2. 在提示中直接和间接注入恶意指令
  3. 提出我自己的(诚然现在有点过时)对法学硕士的概念验证攻击

但对于那些没有花费 2024 年大部分时间试图阻止天网被接管的人来说,他们会去哪里准备呢?

全面披露,截至撰写本文时(2024 年 8 月 30 日),SecOps Group尚未为此考试提供任何正式培训。他们为许多实用的渗透测试考试提供模拟考试,但在我决定参加之前,C-AL/MLPen 考试还没有提供模拟考试。

值得庆幸的是,它们不会让您犹豫不决,因为促销页面告诉您需要知道的一切:

图为:没有谎言。

它们还为您链接了大量相关资源。在我看来,最好的资源是 Lakera AI 的 Gandalf。但是,如果您不阅读和理解它们链接的许多其他资源,并跨不同的 LLM 和配置测试各种攻击,那么您将准备不足。

如果您有时间、意愿和能力,我还建议您设计自己的人工智能聊天机器人来测试各种进攻和防御技术。今年我与人工智能相关的部分研究是设计各种生成式人工智能工具和服务,以更好地理解它们。我购买了 Microsoft 的 AI-900,甚至一直在(断断续续地)学习 AI-102 考试。我真的相信这对我有很大帮助。

如果你知道如何将你的人工智能连接到数据库,你就知道如何访问该数据库,从而直观地知道如何让它泄漏该数据库……

我最喜欢这次考试的一点是它 100% 实用。

C-AI/MLPen 本质上是一个 CTF,您可以在其中访问 8 个不同的 AI 模型,并且您可以扮演应用程序渗透测试人员的虚构角色,负责测试每个模型的防御能力。每个都有自己独特的配置,并且每个都需要不同的方法来哄骗其相应的标志。您将使用真正的漏洞和恶意负载。

虽然你必须回答一些技术上的“问题”,但“答案”是你让不同的法学硕士泄露他们的秘密所得到的标志,就像甘道夫式的那样。

当您第一次购买优惠券时,您会获得一个 VPN 文件来访问考试环境。我曾有过短暂的时刻,我必须断开并重新连接 VPN 才能重新访问考试环境,但除此之外它非常稳定。

总考试时间为 4 小时 15 分钟,这对于他们的要求来说是公平的。它是基于分数的,你至少需要 60% 才能通过。本质上,只要你拿到总共8个flag中的6个,你就有很大的机会通过。我很早就获得了 6 面旗帜,但未能获得最后几面旗帜,最终我的考试时间耗尽了。值得庆幸的是,这仍然足以通过。

我应该指出,我认为我破坏了其中一个人工智能模型,以至于它无法给我旗帜,即使它想给我。无需赘述太多细节,在某个点之后,它的输出就是……错误的,并且远远超出了幻觉。虽然我无法取回旗帜,但它向我展示了我可能不应该看到的东西。

应该指出,尽管我说 Lakera AI 的 Gandalf 是考生的最佳资源,但考试本身绝不像 Gandalf 那么简单。 C-AI/MLPen 考试要困难得多

例如,过去几个月我在不同的时间做过甘道夫,而且我总是能够轻松地打通旗帜,不需要太多努力。对于 C-AI/MLPen,我通常的利用尝试都不起作用,我必须深入挖掘并疯狂研究才能找到解决方案。

我会建议有兴趣的人参加这项考试吗?

是的!

仅就价格而言,就没有理由放弃它。对于挑战来说,这当然也是值得的。

也许我唯一的缺点,我承认有点挑剔,是认证的缩写C-AI/MLPen 。有点多了。如果 SecOps Group 想保留其通常的命名方案,我真诚地建议他们将其缩写为“CAIP”或“CAIPen”。作为已经获得多项认证的人,我正在努力减少电子邮件签名中字母汤的数量。

该认证能让您的简历通过求职者 ATS 或人力资源经理的审查吗?很可能不会。发布还不到一个月,我们的行业广泛采用新认证的速度很慢。

然而,目前在人工智能渗透测试认证领域几乎没有竞争。据我所知,除了在 GitHub 上分享您的概念验证或获得属于您的 CVE 之外,这是您证明自己技能的唯一方式。把它放在你的后口袋里可以成为面试时的一个很好的话题。

如果您是网络应用程序测试人员、人工智能工程师或任何与 IT 或网络安全相关的人员,我认为花时间是值得的。

感谢您的阅读!

免责声明
本文内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 admin@eiefun.com,我们会第一时间配合删除。