arXiv:2502.00072v1 类别：交叉 摘要：大型语言模型（LLMs）在网络安全应用中展现出了不断增强的能力，同时也在加强防御方面带来了潜在的风险。在这篇立场论文中，我们认为当前评估这些能力带来的风险的努力与理解实际影响的目标不一致。评估LLM的网络安全风险不仅仅需要衡量模型的能力——还需要一个全面的风险评估框架，该框架需要考虑到威胁行为者采纳行为的分析及其潜在影响。我们提出了一种LLM网络安全能力的风险评估框架，并将其应用于语言模型作为网络安全助理的案例研究。对前沿模型的评估显示，合规率为高，但在现实的网络安全辅助任务上准确性适中。然而，我们提出的框架表明，由于操作优势有限和潜在影响有限，这种特定用例只带来了中等风险。基于这些发现，我们建议采取若干措施以使研究重点与实际影响评估更加一致，包括加强学术界与工业界的合作、更真实地模拟攻击者行为以及在评估中包含经济指标。这项工作代表了朝着更有效地评估和减轻由LLM带来的网络安全风险的重要一步。