一、前 言
过去几周,整个互联网科技圈被一个来自美国的搅局者--ChatGPT 彻底霸榜,甚至全社会普通大众都在开始谈论 ChatGPT,ChatGPT 已经成为了全球月活最快破亿的消费应用。虽然 ChatGPT 国内仍然用不了,但丝毫不影响关于它的消息出现在各个平台,刷了一遍又一遍的屏。
面对新鲜事物,好奇与对未知的抵触总是相伴而来的,特别是国内互联网表现得又如此急切,在对 ChatGPT 的讨论里,态度总是身处两极:一方是片面神化,把 ChatGPT 的出现认为是宣告新时代的到来,无所不能、无处不在,充满了对未来的想象。而另一方则认为热度的背后全是资本的炒作、新瓶旧酒,无非是又一个新的韭菜切割器,充满了对其不屑。
作为一个新鲜事物被推到了风口浪尖,ChatGPT 到底是新一代神器还是图个乐的玩具、亦或割韭菜的工具?打破对新鲜事物好奇与抵触最佳方式就是更多地了解它、甚至尽可能亲自去用一用。
作为信息安全相关产业的从业者,出于本能的反应都会去思考这样的问题:ChatGPT 这个互联网上滋生出来的新事物对信息安全相关产业将带来什么样的影响?
二、关于 ChatGPT
1、ChatGPT 是什么?
ChatGPT--可能很多人被这个缩写的名字搞糊涂了,第一眼无法看出到底什么意思,GPT 的英文原文是 Generative Pre-training Transformer(预训练生成模型),业界有人将 ChatGPT 概括为聊天机器人+搜索工具+文本创造工具的组合,或者简单理解它是一个生成式 AI(内容生成器)。
GPT 是由 OpenAI 开发的自然语言处理(NLP)模型。这些模型经过训练,可以生成类似于人类书写的文本,并且是 NLP 的重大进步。它使用一种称为转换器架构的深度学习技术,通常用于语言翻译和文本生成等 NLP任务。
目前 ChatGPT 是基于 GPT-3 模型的变体,它是利用复杂的深度学习系统来创建内容,并在大量公开可用的在线文本(如维基百科)上进行训练。模型允许有效理解自然语言,并使用潜在结果的概率分布。GPT-3 对这些进行采样(有一定随机性),因此文本响应永远不会相同。
2、ChatGPT 能做什么?
ChatGPT 能做什么?它的主要功能是协助回答问题、提供信息和生成有关历史、科学、地理等各种主题的信息,这些信息仅限于它所接受的训练(因为它无法主动浏览互联网),但其知识在不断扩展。
3、ChatGPT 牛在哪里?
拿搜索引擎来说,诞生了二十多年的搜索引擎发展并不是线性的,而是随着信息量的指数增大,跳跃式在发展。第一代的搜索引擎 WWW(World Wide Web Wanderer),只是个存放网站网址以及标题的目录,甚至没有提供跳转服务;随着技术的发展,搜索引擎可以不局限于网站标题产生标签,进入文本检索时代。第二代的搜索引擎可以初步找到自己想要的内容,受限制的仅仅只是数据库的容量。反馈的搜索结果跟用户搜索内容有直接关系,它更像是一个超大的文本检索器,返回的是包含关键词的清单;第三代搜索引擎是谷歌引领开发的,它把反馈回来的数据整合成一个门户网站的界面,一个个外链组合成了一个完整的信息世界。到了这个时候,搜索引擎其实已经固定下来了,只剩下如何精准地通过关键词来判断用户的真正查询目的这一个问题了。如何不让用户再次筛选,直接把精筛过的高相关内容直接送到用户眼前,现在的搜索引擎还做不到这点。但是,最后这个问题 ChatGPT 能做到!ChatGPT 能理解你的意思、整合信息、反馈出更直接的结果。
ChatGPT 为什么显得格外聪明?或者说它是怎么理解我们的?不是它理解了这个世界的规则,而是它把概率学玩转的同时还学会了按人类的方式去表达。
ChatGPT 背后的 AI 模型的训练过程,就是让 AI 不断进行填词考试,输入一个字、一句话,让程序去预测出现概率最高的下一个字、下一句话。ChatGPT 用到了 3000 亿单词的语料数据和 1750 亿的参数。前者是喂给程序的训练资料,后者基于训练资料 ChatGPT 模型对世界的理解,一定程度上说,这个参数量级越大,AI 模型就越可靠,越能理解提问。在 ChatGPT身上还做了一项训练--人类偏好处理,即从人类的反馈中让 AI 学会理解人类,因此 ChatGPT 相比前辈更知道哪种答案才是人类想要的,所以 ChatGPT牛在:
(1)它是个通用的模型,只要提示词引导,就能快速适应不同领域。
(2)它能理解你的问题,只要给的引导越多,它就能给出你想要的答案。
由此可以想象更智能的客服、更能听懂你话的 AI、会教你买东西的导购、一键生成代码的远程指导......,一切皆有可能。
当下,ChatGPT 还存在落地成本高、结果不稳定、推理能力有限(有时需要我们逐步引导)、更新困难(指模型更新困难)等问题,但丝毫不能怀疑它将开创崭新的无穷未来。
三、ChatGPT 对网络安全的影响
众所周知,AI 对网络安全带来了巨大而深刻的影响,它既被用来改进和加强网络安全解决方案,帮助人类分析师更快地分类威胁和修复漏洞,也被黑客用来发动更大规模、更复杂的网络攻击。那么以 AI 为核心的ChapGPT 又能给网络安全带来什么新的影响呢?我们可以从以下两方面展开来看:
1、ChatGPT 带来的网络安全新威胁
首先,从开展网络攻击的角度来看,ChatGPT 这类生成式人工智能是偏向于威胁行为者的。生成式 AI 能提供所要求的内容--这极大有利于制作网络钓鱼电子邮件。它通过获取的信息,利用额外的上下文关联关系,并根据其理解得出结论。ChatGPT 可以毫不费力地创建大量复杂的网络钓鱼电子邮件,甚至它还可以创建非常逼真的虚假配置文件,这样渗透进入过去被认为机器不适合或不擅长的领域(如 LinkedIn 等等),伪造出令人信服的资料甚至图片。
其次,目前已经看到有威胁行为者正在使用 ChatGPT 来开发恶意软件。虽然 ChatGPT 的代码编写能力的质量结果好坏参半,但专门从事代码开发的生成式 AI 可以极大地加速恶意软件的开发速度。这种开发速度的加快直观的结果就是它有助于更快地利用漏洞,在漏洞披露后的几个小时内即可开发出直接利用漏洞来开展攻击的工具,而不是过去的几天后才开发出工具来利用它。
再者,ChatGPT 大大降低了威胁参与者基于技能的进入成本。目前,威胁的复杂性或多或少与威胁行为者的技能水平有关,但 ChatGPT 已经将恶意软件空间开放到一个全新的新手威胁参与者水平上,他们参与门槛极大地降低,因为它不仅扩大了潜在威胁的数量,将潜在威胁行为者的数量扩大到了令人震惊的程度,而且还使那些几乎不知道自己在做什么的人更有可能加入战斗。
由于 ChatGPT 的迭代和改进速度惊人,依托它来开展的网络攻击能力水平能得到同步进化,可以说它在发现漏洞方面越来越快、越来越聪明,在编程实现漏洞利用方面越来越及时、越来越成熟高效,新发现的漏洞的武器化时间必将越来越短。
具体展开来分析,ChatGPT 新增的恶意用途表现为:
(1)整合多种恶意软件
过去的恶意软件往往相对独立,都在针对某些或某类暴露出来的漏洞进行攻击,有点单点定向攻击的味道,比较难以扩散,但 ChatGPT 出现后,正如网络安全出版商 CyberArk 报道的那样,新的病毒或攻击武器可以在ChatGPT 的帮助下让过去能被阻止、检测、过滤的病毒获得新生,因为它可以通过精确地引导攻击请求,ChatGPT 就可以生成网络犯罪分子过去难以整合的代码,从而打出组合拳,实现全面的立体攻击甚至自动化智能攻击。
(2)提升漏洞发现能力
ChatGPT 具有强大的分析功能。通过向 ChatGPT 提供源代码甚至部分泄露出来的源代码,ChatGPT 就有能力检测出其中可能的漏洞,目前据报道已经有黑客在漏洞赏金计划期间使用了这种技术,并且获得成功(比如通过分析 PHP 代码片段,ChatGPT 发现了通过数据库访问用户名的可能性以及方法和路径)。因此,可以肯定的是,网络犯罪分子已经开始使用它来尝试发现新的漏洞。
(3)给新手黑客赋能
过去我们往往认为黑客都具备很高的技术技能,但 ChatGPT 出现后新手黑客(script kiddie)大量涌现,他们并没有很高的技术技能,其活动充其量只是使用暗网上可用的现有脚本,或简单地在 GitHub 平台上发起入门级攻击(例如不发明任何东西,只是随机性地使用其他人开发的程序,实现对 Kali Linux 操作系统的冒犯性使用)。在 ChatGPT 出现后,这些入门级网络犯罪分子立刻可以获得新的能力,从过去的只能简单地利用指令中立刻跳升到编写针对性代码的新级别,这极大地激励了众多入门级黑客使用ChatGPT 发起自己的攻击。
(4)按需伪造钓鱼电子邮件
由于可以通过将问题定向到源代码生成,因此可以要求 ChatGPT 编写网络钓鱼电子邮件的文本(例如交付、人力资源或付款提醒等),ChatGPT可以非常方便且高效地完成对应的上下文,ChatGPT 生成的文本即使是专家也看不出来,这可以说为犯罪分子提供了按需伪造文本的利器,由于伪造出来的文本完全可以以假乱真,人工都难以识别,因此机器更无法过滤,可以大大提高攻击的有效性。根据 HP Wolf Security 的研究,网络钓鱼占恶意软件攻击的近 90%,业界专家估计 ChatGPT 必将会使情况变得更糟。因为过去鱼叉式网络钓鱼使用社会工程来创建具有更高收益的高度针对性和定制的诱饵,但是鱼叉式网络钓鱼需要大量的手动工作,因此过去规模很小,随着利用 ChatGPT 来产生诱饵,攻击者立刻可以解决大量和针对性两全方面的问题。更要命的是基于 ChatGPT 的这类攻击可以轻松绕过电子邮件保护扫描程序,因为它们不包含任何恶意附件。
(5)快速筛选和锁定目标
ChatGPT 可以被用来作为高效通过友好聊天收集信息的一种工具,因为用户根本不会知道他们正在与 AI 交互。利用一个毫无戒心的人可能会在一长串的交谈中泄露出来的看似无害的信息,这些信息结合起来可能有助于确定他们的身份、工作和社会生活关系;通过 ChatGPT 向企业员工发送问题,员工可能会在不知不觉中分享有关组织正在做什么、如何处理网络事件、组织当前正在处理什么网络事件…等。此外,有关技术问题的沟通可能揭示组织感兴趣的业务发展方向…结合其他人工智能模型,这足以告知黑客或黑客群体谁或者那个组织可能是一个很好的潜在目标以及如何利用他们。
(6)模拟网络防御/攻击以发展网络攻击技术
据报道,攻击者正在使用 ChatGPT 来模拟网络防御来发展他们的网络攻击技术,以找出目标系统的漏洞。同时,他们通过模拟攻击来评估其攻击的有效性。他们通过利用 ChatGPT 对不同的恶意软件技术进行研究,甚至利用它创建对目标最有效的恶意软件。
(7)社会工程攻击
ChatGPT 的诞生和发展,给甚至不精通各种语言的攻击者借助生成的文本进行社会工程攻击提供了极大的方便。攻击者利用 ChatGPT,在医学研究、国防和网络安全等关键领域传播误导性信息/错误信息。过去为了捕获人工智能生成的错误信息,专家们使用人工智能驱动的模型转换器,通过对大量资源进行检查来快速识别错误信息。然而,ChatGPT 也使用模型转换器,可以轻松生成绕过网络安全专家的系统的识别。
此外,通过利用 ChatGPT 向用于自动网络安全响应的威胁情报提供误导性信息,可以降低网络安全的有效性,这可能使专家都无法关注到需要解决的实际漏洞。
2、ChatGPT 带来的网络安全防御新机遇
ChatGPT 在网络安全方面给我们带来新的风险的同时也为网络安全防御带来了新气象,它也可以是一个强大的网络安全工具,具体体现为:
(1)提升防御的自动化水平并减少人为错误
ChatGPT 作为人工智能的典型代表,它对实现自动化防御措施提供了有力支撑。目前,安全编排、自动化和响应(SOAR)工具在网络安全策略中越来越受欢迎。由于 SOAR 具有减少应对安全威胁所需的人为干预能力,利用 ChatGPT 这样的 AI 来协助网络安全策略的部署和动态调整,可以大大减轻安全专家的工作量和工作强度,从而可腾更多的时间来聚焦处理 AI 无法处理的创造性工作。
ChatGPT 可以降低人为错误的可能性。任何网络安全系统的关键弱点之一是人为因素,无论您的计划有多好,无论您的技术多么有效,只需要一两个人犯了一个错误,网络就会无法抵御勒索软件和其他网络安全威胁。通过尽可能多地利用 ChatGPT 来自动化生成解决方案,网络安全公司有望减少人为错误导致网络灾难的可能性。
(2)ChatGPT 是信息安全人员的好助手
ChatGPT 可以通过进行研究、撰写报告、创建处理各种事件的脚本和检查数据来帮助首席信息安全官。安全官员可以使用 ChatGPT 的综合分析结果来增加对安全问题的了解,进一步还可以借助 ChatGPT 的能力来寻找到应对网络风险的最佳方法。此外,它还是安全研究人员的很好的信息安全伴侣,因为它可以很好地完成许多任务,同时与人们十分自然地交互。未来,它可以与安全管理团队深度配合,特别是那些处理脚本、恶意软件分析和取证的团队。
(3)ChatGPT 可大大提高安全团队的效率
ChatGPT 能帮助 IT 和安全团队变得更加高效,实现自动和/或半自动漏洞检测和修复以及基于优先级的风险评估等工作。过去,可以分析数据安全的人工智能对于面临资源有限的 IT 和安全团队来说非常稀缺,局限点在于需要海量数据的训练它才能理解特定环境中的什么是“正常”情况什么是“异常”情况,因此实施起来极其复杂。但是 ChatGPT 的诞生,大大简化这样的过程,它的超强“理解力”给安全团队带来了极大的方便,使得自动或半自动漏洞检测与修复不仅可行且高效起来。
(4)编写事务性的处理代码
可以利用 ChatGPT 编写代码,特别是事务性处理程序代码。安全运维分析师常见的任务是处理特定的日志文件、针对某些模式的 grep 并将其导出,以获得对事件或问题的有意义的见解。通常分析师需要知道并熟悉一种脚本语言(如 Python),ChatGPT 可以以多种语言为他们编写这些脚本,可以管理各种格式(LEAF、CEF、Syslog、JSON、XML 等),甚至可以做得更好。
四、结 语
网络防御者和攻击者之间一直在进行一场永无止境的战斗,一旦安全商开发出缓解最新威胁的方法,攻击者就会忙于寻找解决方法或新的威胁来取代它。
随着像 ChatGPT 这样的创新变得越来越强大,网络安全的军备竞赛将日益自动化,这真的可能是一个全新的新世界。最终,攻防的两边都将发展到大部分是自动化几乎没有人类参与的状态。
在网络安全环境中 ChatGPT 还不能替代人类--尤其是在识别和缓解威胁方面,但在正确的环境中与正确的团队合作,它会如虎添翼。
当下如何用好 ChatGPT?如何避免 ChatGPT 带来的风险,业界专家提出建议有:
1、限制敏感查询
由于与 ChatGPT 共享的信息可以向公众提供,因此可以将查询限制为个人和组织级别的非敏感查询,只共享不会产生任何损害或导致危害组织的信息。
2、测试 ChatGPT 生成的代码
从开源中学习的人工智能系统可能产生包含固有有害代码的代码,以及不符合安全开发标准的代码。因此,在使用之前需要测试任何 AI 生成的代码。
3、检查准确性
如果使用 ChatGPT 进行研究或报告,务必检查它们是否准确。就像使用谷歌进行研究一样,必须记住人工智能为你提供的一个答案并不意味着它是正确的。
4、注意数据
ChatGPT 缺乏隐私意味着用户应该注意他们共享的数据。将来,OpenAI可能会创建一个维护隐私的付费版本,这将缓解 ChatGPT 当前的许多问题。
5、正确管理
无论所有可能的问题如何,如果管理得当,ChatGPT 仍然有可能成为强大的网络安全工具。
总之,ChatGPT 给世界带来了数字未来的曙光,开辟了解锁生产力和效率可能性。尽管它使许多人的工作变得非常容易,但它也帮助攻击者提出了进化的方法,挑战了最复杂的网络安全。
