您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
ChatGPT 對網(wǎng)絡安全的影響
一 前 言
過去一段時間,整個互聯(lián)網(wǎng)科技圈被一個來自美國的攪局者--ChatGPT 徹底霸榜,甚至全社會普通大眾都在開始談論 ChatGPT,ChatGPT 已經(jīng)成為了全球月活最快破億的消費應用。雖然 ChatGPT 國內(nèi)仍然用不了,但絲毫不影響關于它的消息出現(xiàn)在各個平臺,刷了一遍又一遍的屏。
面對新鮮事物,好奇與對未知的抵觸總是相伴而來的,特別是國內(nèi)互聯(lián)網(wǎng)表現(xiàn)得又如此急切,在對 ChatGPT 的討論里,態(tài)度總是身處兩極:一方是片面神化,把 ChatGPT 的出現(xiàn)認為是宣告新時代的到來,無所不能、無處不在,充滿了對未來的想象。而另一方則認為熱度的背后全是資本的炒作、新瓶舊酒,無非是又一個新的韭菜切割器,充滿了對其不屑。
作為一個新鮮事物被推到了風口浪尖,ChatGPT 到底是新一代神器還是圖個樂的玩具、亦或割韭菜的工具?打破對新鮮事物好奇與抵觸最佳方式就是更多地了解它、甚至盡可能親自去用一用。
作為信息安全相關產(chǎn)業(yè)的從業(yè)者,出于本能的反應都會去思考這樣的問題:ChatGPT 這個互聯(lián)網(wǎng)上滋生出來的新事物對信息安全相關產(chǎn)業(yè)將帶來什么樣的影響?
二 關于 ChatGPT
1、ChatGPT 是什么?
ChatGPT--可能很多人被這個縮寫的名字搞糊涂了,第一眼無法看出到底什么意思,GPT 的英文原文是 Generative Pre-training Transformer(預訓練生成模型),業(yè)界有人將 ChatGPT 概括為聊天機器人+搜索工具+文本創(chuàng)造工具的組合,或者簡單理解它是一個生成式 AI(內(nèi)容生成器)。
GPT 是由 OpenAI 開發(fā)的自然語言處理(NLP)模型。這些模型經(jīng)過訓練,可以生成類似于人類書寫的文本,并且是 NLP 的重大進步。它使用一種稱為轉(zhuǎn)換器架構的深度學習技術,通常用于語言翻譯和文本生成等 NLP任務。
目前 ChatGPT 是基于 GPT-3 模型的變體,它是利用復雜的深度學習系統(tǒng)來創(chuàng)建內(nèi)容,并在大量公開可用的在線文本(如維基百科)上進行訓練。模型允許有效理解自然語言,并使用潛在結果的概率分布。GPT-3 對這些進行采樣(有一定隨機性),因此文本響應永遠不會相同。
2、ChatGPT 能做什么?
ChatGPT 能做什么?它的主要功能是協(xié)助回答問題、提供信息和生成有關歷史、科學、地理等各種主題的信息,這些信息僅限于它所接受的訓練(因為它無法主動瀏覽互聯(lián)網(wǎng)),但其知識在不斷擴展。
3、ChatGPT 牛在哪里?
拿搜索引擎來說,誕生了二十多年的搜索引擎發(fā)展并不是線性的,而是隨著信息量的指數(shù)增大,跳躍式在發(fā)展。第一代的搜索引擎 WWW(World Wide Web Wanderer),只是個存放網(wǎng)站網(wǎng)址以及標題的目錄,甚至沒有提供跳轉(zhuǎn)服務;隨著技術的發(fā)展,搜索引擎可以不局限于網(wǎng)站標題產(chǎn)生標簽,進入文本檢索時代。第二代的搜索引擎可以初步找到自己想要的內(nèi)容,受限制的僅僅只是數(shù)據(jù)庫的容量。反饋的搜索結果跟用戶搜索內(nèi)容有直接關系,它更像是一個超大的文本檢索器,返回的是包含關鍵詞的清單;第三代搜索引擎是谷歌引領開發(fā)的,它把反饋回來的數(shù)據(jù)整合成一個門戶網(wǎng)站的界面,一個個外鏈組合成了一個完整的信息世界。到了這個時候,搜索引擎其實已經(jīng)固定下來了,只剩下如何精準地通過關鍵詞來判斷用戶的真正查詢目的這一個問題了。如何不讓用戶再次篩選,直接把精篩過的高相關內(nèi)容直接送到用戶眼前,現(xiàn)在的搜索引擎還做不到這點。但是,最后這個問題 ChatGPT 能做到!ChatGPT 能理解你的意思、整合信息、反饋出更直接的結果。
ChatGPT 為什么顯得格外聰明?或者說它是怎么理解我們的?不是它理解了這個世界的規(guī)則,而是它把概率學玩轉(zhuǎn)的同時還學會了按人類的方式去表達。
ChatGPT 背后的 AI 模型的訓練過程,就是讓 AI 不斷進行填詞考試,輸入一個字、一句話,讓程序去預測出現(xiàn)概率最高的下一個字、下一句話。ChatGPT 用到了 3000 億單詞的語料數(shù)據(jù)和 1750 億的參數(shù)。前者是喂給程序的訓練資料,后者基于訓練資料 ChatGPT 模型對世界的理解,一定程度上說,這個參數(shù)量級越大,AI 模型就越可靠,越能理解提問。在 ChatGPT身上還做了一項訓練--人類偏好處理,即從人類的反饋中讓 AI 學會理解人類,因此 ChatGPT 相比前輩更知道哪種答案才是人類想要的,所以 ChatGPT牛在:
(1)它是個通用的模型,只要提示詞引導,就能快速適應不同領域。
(2)它能理解你的問題,只要給的引導越多,它就能給出你想要的答案。
由此可以想象更智能的客服、更能聽懂你話的 AI、會教你買東西的導購、一鍵生成代碼的遠程指導......,一切皆有可能。
當下,ChatGPT 還存在落地成本高、結果不穩(wěn)定、推理能力有限(有時需要我們逐步引導)、更新困難(指模型更新困難)等問題,但絲毫不能懷疑它將開創(chuàng)嶄新的無窮未來。
三 ChatGPT 對網(wǎng)絡安全的影響
眾所周知,AI 對網(wǎng)絡安全帶來了巨大而深刻的影響,它既被用來改進和加強網(wǎng)絡安全解決方案,幫助人類分析師更快地分類威脅和修復漏洞,也被黑客用來發(fā)動更大規(guī)模、更復雜的網(wǎng)絡攻擊。那么以 AI 為核心的ChapGPT 又能給網(wǎng)絡安全帶來什么新的影響呢?我們可以從以下兩方面展開來看:
1、ChatGPT 帶來的網(wǎng)絡安全新威脅
首先,從開展網(wǎng)絡攻擊的角度來看,ChatGPT 這類生成式人工智能是偏向于威脅行為者的。生成式 AI 能提供所要求的內(nèi)容--這極大有利于制作網(wǎng)絡釣魚電子郵件。它通過獲取的信息,利用額外的上下文關聯(lián)關系,并根據(jù)其理解得出結論。ChatGPT 可以毫不費力地創(chuàng)建大量復雜的網(wǎng)絡釣魚電子郵件,甚至它還可以創(chuàng)建非常逼真的虛假配置文件,這樣滲透進入過去被認為機器不適合或不擅長的領域(如 LinkedIn 等等),偽造出令人信服的資料甚至圖片。
其次,目前已經(jīng)看到有威脅行為者正在使用 ChatGPT 來開發(fā)惡意軟件。雖然 ChatGPT 的代碼編寫能力的質(zhì)量結果好壞參半,但專門從事代碼開發(fā)的生成式 AI 可以極大地加速惡意軟件的開發(fā)速度。這種開發(fā)速度的加快直觀的結果就是它有助于更快地利用漏洞,在漏洞披露后的幾個小時內(nèi)即可開發(fā)出直接利用漏洞來開展攻擊的工具,而不是過去的幾天后才開發(fā)出工具來利用它。
再者,ChatGPT 大大降低了威脅參與者基于技能的進入成本。目前,威脅的復雜性或多或少與威脅行為者的技能水平有關,但 ChatGPT 已經(jīng)將惡意軟件空間開放到一個全新的新手威脅參與者水平上,他們參與門檻極大地降低,因為它不僅擴大了潛在威脅的數(shù)量,將潛在威脅行為者的數(shù)量擴大到了令人震驚的程度,而且還使那些幾乎不知道自己在做什么的人更有可能加入戰(zhàn)斗。
由于 ChatGPT 的迭代和改進速度驚人,依托它來開展的網(wǎng)絡攻擊能力水平能得到同步進化,可以說它在發(fā)現(xiàn)漏洞方面越來越快、越來越聰明,在編程實現(xiàn)漏洞利用方面越來越及時、越來越成熟高效,新發(fā)現(xiàn)的漏洞的武器化時間必將越來越短。
具體展開來分析,ChatGPT 新增的惡意用途表現(xiàn)為:
(1)整合多種惡意軟件
過去的惡意軟件往往相對獨立,都在針對某些或某類暴露出來的漏洞進行攻擊,有點單點定向攻擊的味道,比較難以擴散,但 ChatGPT 出現(xiàn)后,正如網(wǎng)絡安全出版商 CyberArk 報道的那樣,新的病毒或攻擊武器可以在ChatGPT 的幫助下讓過去能被阻止、檢測、過濾的病毒獲得新生,因為它可以通過精確地引導攻擊請求,ChatGPT 就可以生成網(wǎng)絡犯罪分子過去難以整合的代碼,從而打出組合拳,實現(xiàn)全面的立體攻擊甚至自動化智能攻擊。
(2)提升漏洞發(fā)現(xiàn)能力
ChatGPT 具有強大的分析功能。通過向 ChatGPT 提供源代碼甚至部分泄露出來的源代碼,ChatGPT 就有能力檢測出其中可能的漏洞,目前據(jù)報道已經(jīng)有黑客在漏洞賞金計劃期間使用了這種技術,并且獲得成功(比如通過分析 PHP 代碼片段,ChatGPT 發(fā)現(xiàn)了通過數(shù)據(jù)庫訪問用戶名的可能性以及方法和路徑)。因此,可以肯定的是,網(wǎng)絡犯罪分子已經(jīng)開始使用它來嘗試發(fā)現(xiàn)新的漏洞。
(3)給新手黑客賦能
過去我們往往認為黑客都具備很高的技術技能,但 ChatGPT 出現(xiàn)后新手黑客(script kiddie)大量涌現(xiàn),他們并沒有很高的技術技能,其活動充其量只是使用暗網(wǎng)上可用的現(xiàn)有腳本,或簡單地在 GitHub 平臺上發(fā)起入門級攻擊(例如不發(fā)明任何東西,只是隨機性地使用其他人開發(fā)的程序,實現(xiàn)對 Kali Linux 操作系統(tǒng)的冒犯性使用)。在 ChatGPT 出現(xiàn)后,這些入門級網(wǎng)絡犯罪分子立刻可以獲得新的能力,從過去的只能簡單地利用指令中立刻跳升到編寫針對性代碼的新級別,這極大地激勵了眾多入門級黑客使用ChatGPT 發(fā)起自己的攻擊。
(4)按需偽造釣魚電子郵件
由于可以通過將問題定向到源代碼生成,因此可以要求 ChatGPT 編寫網(wǎng)絡釣魚電子郵件的文本(例如交付、人力資源或付款提醒等),ChatGPT可以非常方便且高效地完成對應的上下文,ChatGPT 生成的文本即使是專家也看不出來,這可以說為犯罪分子提供了按需偽造文本的利器,由于偽造出來的文本完全可以以假亂真,人工都難以識別,因此機器更無法過濾,可以大大提高攻擊的有效性。根據(jù) HP Wolf Security 的研究,網(wǎng)絡釣魚占惡意軟件攻擊的近 90%,業(yè)界專家估計 ChatGPT 必將會使情況變得更糟。因為過去魚叉式網(wǎng)絡釣魚使用社會工程來創(chuàng)建具有更高收益的高度針對性和定制的誘餌,但是魚叉式網(wǎng)絡釣魚需要大量的手動工作,因此過去規(guī)模很小,隨著利用 ChatGPT 來產(chǎn)生誘餌,攻擊者立刻可以解決大量和針對性兩全方面的問題。更要命的是基于 ChatGPT 的這類攻擊可以輕松繞過電子郵件保護掃描程序,因為它們不包含任何惡意附件。
(5)快速篩選和鎖定目標
ChatGPT 可以被用來作為高效通過友好聊天收集信息的一種工具,因為用戶根本不會知道他們正在與 AI 交互。利用一個毫無戒心的人可能會在一長串的交談中泄露出來的看似無害的信息,這些信息結合起來可能有助于確定他們的身份、工作和社會生活關系;通過 ChatGPT 向企業(yè)員工發(fā)送問題,員工可能會在不知不覺中分享有關組織正在做什么、如何處理網(wǎng)絡事件、組織當前正在處理什么網(wǎng)絡事件…等。此外,有關技術問題的溝通可能揭示組織感興趣的業(yè)務發(fā)展方向…結合其他人工智能模型,這足以告知黑客或黑客群體誰或者那個組織可能是一個很好的潛在目標以及如何利用他們。
(6)模擬網(wǎng)絡防御/攻擊以發(fā)展網(wǎng)絡攻擊技術
據(jù)報道,攻擊者正在使用 ChatGPT 來模擬網(wǎng)絡防御來發(fā)展他們的網(wǎng)絡攻擊技術,以找出目標系統(tǒng)的漏洞。同時,他們通過模擬攻擊來評估其攻擊的有效性。他們通過利用 ChatGPT 對不同的惡意軟件技術進行研究,甚至利用它創(chuàng)建對目標最有效的惡意軟件。
(7)社會工程攻擊
ChatGPT 的誕生和發(fā)展,給甚至不精通各種語言的攻擊者借助生成的文本進行社會工程攻擊提供了極大的方便。攻擊者利用 ChatGPT,在醫(yī)學研究、國防和網(wǎng)絡安全等關鍵領域傳播誤導性信息/錯誤信息。過去為了捕獲人工智能生成的錯誤信息,專家們使用人工智能驅(qū)動的模型轉(zhuǎn)換器,通過對大量資源進行檢查來快速識別錯誤信息。然而,ChatGPT 也使用模型轉(zhuǎn)換器,可以輕松生成繞過網(wǎng)絡安全專家的系統(tǒng)的識別。
此外,通過利用 ChatGPT 向用于自動網(wǎng)絡安全響應的威脅情報提供誤導性信息,可以降低網(wǎng)絡安全的有效性,這可能使專家都無法關注到需要解決的實際漏洞。
2、ChatGPT 帶來的網(wǎng)絡安全防御新機遇
ChatGPT 在網(wǎng)絡安全方面給我們帶來新的風險的同時也為網(wǎng)絡安全防御帶來了新氣象,它也可以是一個強大的網(wǎng)絡安全工具,具體體現(xiàn)為:
(1)提升防御的自動化水平并減少人為錯誤
ChatGPT 作為人工智能的典型代表,它對實現(xiàn)自動化防御措施提供了有力支撐。目前,安全編排、自動化和響應(SOAR)工具在網(wǎng)絡安全策略中越來越受歡迎。由于 SOAR 具有減少應對安全威脅所需的人為干預能力,利用 ChatGPT 這樣的 AI 來協(xié)助網(wǎng)絡安全策略的部署和動態(tài)調(diào)整,可以大大減輕安全專家的工作量和工作強度,從而可騰更多的時間來聚焦處理 AI 無法處理的創(chuàng)造性工作。
ChatGPT 可以降低人為錯誤的可能性。任何網(wǎng)絡安全系統(tǒng)的關鍵弱點之一是人為因素,無論您的計劃有多好,無論您的技術多么有效,只需要一兩個人犯了一個錯誤,網(wǎng)絡就會無法抵御勒索軟件和其他網(wǎng)絡安全威脅。通過盡可能多地利用 ChatGPT 來自動化生成解決方案,網(wǎng)絡安全公司有望減少人為錯誤導致網(wǎng)絡災難的可能性。
(2)ChatGPT 是信息安全人員的好助手
ChatGPT 可以通過進行研究、撰寫報告、創(chuàng)建處理各種事件的腳本和檢查數(shù)據(jù)來幫助首席信息安全官。安全官員可以使用 ChatGPT 的綜合分析結果來增加對安全問題的了解,進一步還可以借助 ChatGPT 的能力來尋找到應對網(wǎng)絡風險的最佳方法。此外,它還是安全研究人員的很好的信息安全伴侶,因為它可以很好地完成許多任務,同時與人們十分自然地交互。未來,它可以與安全管理團隊深度配合,特別是那些處理腳本、惡意軟件分析和取證的團隊。
(3)ChatGPT 可大大提高安全團隊的效率
ChatGPT 能幫助 IT 和安全團隊變得更加高效,實現(xiàn)自動和/或半自動漏洞檢測和修復以及基于優(yōu)先級的風險評估等工作。過去,可以分析數(shù)據(jù)安全的人工智能對于面臨資源有限的 IT 和安全團隊來說非常稀缺,局限點在于需要海量數(shù)據(jù)的訓練它才能理解特定環(huán)境中的什么是“正常”情況什么是“異?!鼻闆r,因此實施起來極其復雜。但是 ChatGPT 的誕生,大大簡化這樣的過程,它的超強“理解力”給安全團隊帶來了極大的方便,使得自動或半自動漏洞檢測與修復不僅可行且高效起來。
(4)編寫事務性的處理代碼
可以利用 ChatGPT 編寫代碼,特別是事務性處理程序代碼。安全運維分析師常見的任務是處理特定的日志文件、針對某些模式的 grep 并將其導出,以獲得對事件或問題的有意義的見解。通常分析師需要知道并熟悉一種腳本語言(如 Python),ChatGPT 可以以多種語言為他們編寫這些腳本,可以管理各種格式(LEAF、CEF、Syslog、JSON、XML 等),甚至可以做得更好。
四 結 語
網(wǎng)絡防御者和攻擊者之間一直在進行一場永無止境的戰(zhàn)斗,一旦安全商開發(fā)出緩解最新威脅的方法,攻擊者就會忙于尋找解決方法或新的威脅來取代它。
隨著像 ChatGPT 這樣的創(chuàng)新變得越來越強大,網(wǎng)絡安全的軍備競賽將日益自動化,這真的可能是一個全新的新世界。最終,攻防的兩邊都將發(fā)展到大部分是自動化幾乎沒有人類參與的狀態(tài)。
在網(wǎng)絡安全環(huán)境中 ChatGPT 還不能替代人類--尤其是在識別和緩解威脅方面,但在正確的環(huán)境中與正確的團隊合作,它會如虎添翼。
當下如何用好 ChatGPT?如何避免 ChatGPT 帶來的風險,業(yè)界專家提出建議有:
1、限制敏感查詢
由于與 ChatGPT 共享的信息可以向公眾提供,因此可以將查詢限制為個人和組織級別的非敏感查詢,只共享不會產(chǎn)生任何損害或?qū)е挛:M織的信息。
2、測試 ChatGPT 生成的代碼
從開源中學習的人工智能系統(tǒng)可能產(chǎn)生包含固有有害代碼的代碼,以及不符合安全開發(fā)標準的代碼。因此,在使用之前需要測試任何 AI 生成的代碼。
3、檢查準確性
如果使用 ChatGPT 進行研究或報告,務必檢查它們是否準確。就像使用谷歌進行研究一樣,必須記住人工智能為你提供的一個答案并不意味著它是正確的。
4、注意數(shù)據(jù)
ChatGPT 缺乏隱私意味著用戶應該注意他們共享的數(shù)據(jù)。將來,OpenAI可能會創(chuàng)建一個維護隱私的付費版本,這將緩解 ChatGPT 當前的許多問題。
5、正確管理
無論所有可能的問題如何,如果管理得當,ChatGPT 仍然有可能成為強大的網(wǎng)絡安全工具。
總之,ChatGPT 給世界帶來了數(shù)字未來的曙光,開辟了解鎖生產(chǎn)力和效率可能性。盡管它使許多人的工作變得非常容易,但它也幫助攻擊者提出了進化的方法,挑戰(zhàn)了最復雜的網(wǎng)絡安全。
供稿:三十所信息中心
文章來源: 信息安全與通信保密雜志社