arXiv:2503.16392v2 宣告类型: 替换-交叉 摘要：随着基于AI的软件变得越来越普遍，利用其能力（如高自动化和复杂模式识别）的风险可能会显著增加。将AI用于攻击非AI资产的AI称为进攻性AI。 当前的研究探讨了如何利用进攻性AI以及如何对其使用进行分类。此外，为了组织中的基于AI的资产，正开发威胁建模方法。然而，仍存在需要解决的空白。首先，需要量化构成AI威胁的因素。其次，需要创建分析被AI攻击的风险，以进行全面漏洞评估的威胁模型。特别是在云环境中尤为关键和具有挑战性，因为复杂的基础设施和访问控制环境非常普遍。能够量化并进一步分析进攻性AI所构成的威胁，使分析师能够评估漏洞并优先实施主动的应对措施。 为了填补这些空白，本文引入了努力图（Graph of Effort）方法，这是一种直观、灵活且有效的威胁建模方法，用于分析对手利用进攻性AI进行漏洞利用所需的努力。虽然威胁模型具有功能性并提供了有价值的支持，但其设计选择需要在未来的工作中进行进一步的实证验证。