任何基于云的组织最有价值的资产是数据，而这些数据正日益面临复杂网络攻击的威胁。直到最近，许多在云中运营的政府实体和国家关键服务仍常将DevOps环境中安全措施的实施视为可选项。这包括管理敏感信息的系统，例如选举流程或军事行动系统，它们历来是网络犯罪分子的高价值目标。对实施安全措施的抵制，往往源于对可能丧失软件开发敏捷性的担忧，但这会增加漏洞累积的风险。如今，仅靠修补软件已远远不够；采用由人工智能支持的主动网络防御策略，对于预测和缓解威胁至关重要。因此，本研究提出将安全混沌工程方法与一种新型基于大语言模型的流程相结合，以自动化创建表征对手行为的攻击防御树，并基于这些图形化模型便捷地构建SCE实验，从而使团队能够领先攻击者一步，并实施之前未考虑到的防御措施。关于所进行实验的进一步详细信息以及复现步骤，可在以下代码仓库中找到：https://github.com/mariomc14/devsecops-adversary-llm.git。

因此，本文的主要贡献总结如下：

• 一种基于大语言模型、用于生成表征对手行为的攻击防御树的新型流程。

• 利用不同的通用大语言模型进行了攻击防御树生成的对比分析。通过为模型提供一组在DevSecOps和网络防御语境下的提示词，评估它们生成具有清晰层次结构、并与所提出的攻击目标相一致的真实攻击结构的能力。

• 定义了用于评估不同模型生成的攻击防御树质量的关键指标。这些指标确保生成的树基于真实世界的攻击和应对措施，保持清晰的层次结构，并与明确界定的攻击目标保持一致。

• 通过对部分生成的攻击防御树进行评估，以及对一个SCE实验的实施，验证了所提方案的可行性。该实验允许从现实对手的角度测试所生成攻击路径的可行性。

本文结构如下：第二部分探讨了用于网络安全和网络防御目的的大语言模型。接着，第三部分描述了我们所提出的、使用通用大语言模型生成和评估攻击防御树的方法。然后，在第四部分中，利用获得的最佳攻击防御树来构建和执行我们的实验。最后，第五部分给出结论，并分析未来可能的研究方向以改进我们的提案。