压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

文 | 騰訊政策發(fā)展中心主任 翟尤

美國(guó)公司 OpenAI 開發(fā)的人工智能聊天機(jī)器人程序 ChatGPT，以高度擬人化的交流方式，成為自然語(yǔ)言為交互方式的通用語(yǔ)言處理平臺(tái)。一方面，ChatGPT 可以輔助人們提高工作效率、推動(dòng)社會(huì)進(jìn)步，并為提供相應(yīng)的網(wǎng)絡(luò)安全保護(hù)。另一方面，如果不受控制和規(guī)范，ChatGPT 可能會(huì)導(dǎo)致未來(lái)的網(wǎng)絡(luò)環(huán)境受到攻擊并充滿威脅。

一、ChatGPT 提升網(wǎng)絡(luò)安全智能化水平

從 ChatGPT 發(fā)布開始，網(wǎng)絡(luò)安全領(lǐng)域的研究人員一直探索如何將 ChatGPT 融入網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)安全保護(hù)等工作。網(wǎng)絡(luò)安全廠商也在加快應(yīng)用人工智能技術(shù)應(yīng)用的步伐。根據(jù)市場(chǎng)調(diào)研機(jī)構(gòu) Meticulous Research 2020 年的報(bào)告數(shù)據(jù)，未來(lái)五年網(wǎng)絡(luò)安全人工智能市場(chǎng)的復(fù)合年增長(zhǎng)率為23.6%，到 2027 年的市值將達(dá)到 463 億美元。雖然 ChatGPT 是一款人工智能聊天機(jī)器人，但是它已經(jīng)在安全控制和防護(hù)機(jī)制方面對(duì)網(wǎng)絡(luò)安全產(chǎn)生了影響。總體看，ChatGPT 在提升網(wǎng)絡(luò)安全智能化水平方面，主要表現(xiàn)在以下三個(gè)領(lǐng)域。

1. 檢測(cè)易受攻擊代碼

ChatGPT 可以幫助安全人員檢測(cè)代碼的安全性，并給出如何修復(fù)的意見和建議。對(duì)于希望快速檢查代碼是否存在漏洞的研究人員而言，雖然 ChatGPT 還存在一定的不足，但是 ChatGPT 確實(shí)是一個(gè)實(shí)用的工具。根據(jù) 2023 年 2 月媒體暗讀（Dark Reading）報(bào)道，卡巴斯基研究人員維克多·謝爾蓋夫（Victor Sergeev）在一項(xiàng)實(shí)驗(yàn)中發(fā)現(xiàn)，ChatGPT 能夠識(shí)別系統(tǒng)中運(yùn)行的惡意程序。研究人員用 ChatGPT 驅(qū)動(dòng)的掃描器掃描被感染的目標(biāo)系統(tǒng)，最終發(fā)現(xiàn)了系統(tǒng)中運(yùn)行的兩個(gè)惡意程序，并成功跳過(guò)了 137 個(gè)良性進(jìn)程。這種方法有效提高了安全人員的工作效率，也讓研究人員發(fā)現(xiàn)了 ChatGPT 在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用潛力。

2. 任務(wù)自動(dòng)化

ChatGPT 在實(shí)現(xiàn)網(wǎng)絡(luò)安全日常工作的智能化方面也將發(fā)揮巨大作用。例如，網(wǎng)絡(luò)安全人員可以使用 ChatGPT 加強(qiáng)腳本、策略編排、安全報(bào)告的自動(dòng)化撰寫工作，甚至可以針對(duì)滲透測(cè)試報(bào)告編寫修復(fù)指南。同時(shí)，ChatGPT 還可以生成報(bào)告大綱，在報(bào)告中添加自動(dòng)化元素，也可以根據(jù)網(wǎng)絡(luò)安全需求輸出網(wǎng)絡(luò)安全培訓(xùn)課程。對(duì)于滲透測(cè)試和安全產(chǎn)品開發(fā)人員來(lái)說(shuō)，ChatGPT 可以幫助生成單元測(cè)試代碼或滲透測(cè)試的腳本，從而節(jié)省開發(fā)人員時(shí)間，提升效率。因此，ChatGPT 可以被用來(lái)輔助完成網(wǎng)絡(luò)安全防御任務(wù)，包括使用 ChatGPT 生成檢測(cè)腳本、解析系統(tǒng)日志，以及完成安全情報(bào)眾包、安全事件響應(yīng)等工作。

3. 降低安全產(chǎn)品使用門檻

由于網(wǎng)絡(luò)安全產(chǎn)品具有使用門檻較高、覆蓋用戶較窄的特點(diǎn)，用戶需要具備一定的專業(yè)知識(shí)，并且需要在使用前進(jìn)行培訓(xùn)。對(duì)于那些不具備安全專業(yè)知識(shí)的用戶來(lái)說(shuō)，他們很難有效使用網(wǎng)絡(luò)安全產(chǎn)品的功能。ChatGPT 的出現(xiàn)降低了用戶的使用門檻，尤其是在自然語(yǔ)言處理能力方面，有效提升了用戶調(diào)用網(wǎng)絡(luò)安全產(chǎn)品功能的可能性。例如，美國(guó) Strike Ready 公司開發(fā)的 Cara 平臺(tái)能夠?qū)⒆匀徽Z(yǔ)言能力融入網(wǎng)安安全產(chǎn)品，讓使用者可以在聊天對(duì)話框中向系統(tǒng)發(fā)出指令，從而更加高效、簡(jiǎn)便地調(diào)度安全產(chǎn)品。

二、ChatGPT 帶來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

ChatGPT 能夠幫助檢測(cè)易被攻擊的代碼，也可以被黑客利用尋找網(wǎng)站的安全漏洞，從而使網(wǎng)絡(luò)安全攻擊變得更加容易。隨著對(duì) ChatGPT 的研究深入，利用 ChatGPT 進(jìn)行攻擊的方法和技巧不斷被披露，網(wǎng)絡(luò)攻擊門檻迅速降低。這些情況也帶來(lái)了極大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

1. 降低網(wǎng)絡(luò)攻擊門檻

與任何新技術(shù)、新應(yīng)用面臨的問(wèn)題類似，網(wǎng)絡(luò)攻擊者也會(huì)利用 ChatGPT 作為新的攻擊手段或工具。這將降低網(wǎng)絡(luò)攻擊的入門門檻。大模型在訓(xùn)練過(guò)程中，學(xué)習(xí)了大量數(shù)據(jù)語(yǔ)料資源，其中，開源機(jī)構(gòu)提供了諸多高質(zhì)量數(shù)據(jù)，由于開源數(shù)據(jù)缺少安全檢驗(yàn)和過(guò)濾機(jī)制，很可能導(dǎo)致生成的代碼還存在漏洞。這些漏洞如果被攻擊者利用，將會(huì)造成竊取、篡改、刪除數(shù)據(jù)庫(kù)信息，甚至控制服務(wù)器等風(fēng)險(xiǎn)。除了可以用于生成網(wǎng)絡(luò)攻擊的腳本、釣魚郵件，ChatGPT 也可以被用來(lái)破解一些簡(jiǎn)單加密的數(shù)據(jù)。通過(guò)釣魚郵件和惡意代碼生成等手段降低攻擊成本的方法，可以使黑客更加容易實(shí)施網(wǎng)絡(luò)攻擊。可以說(shuō)，攻擊者不需要深厚的編程技能和大量資金，就可以發(fā)起網(wǎng)絡(luò)攻擊。對(duì)于沒(méi)有經(jīng)驗(yàn)的人，他們可以利用 ChatGPT 編寫用于間諜、勒索攻擊、釣魚郵件的軟件和電子郵件。例如，不法分子冒充企業(yè)營(yíng)銷團(tuán)隊(duì)要求 ChatGPT 編寫代碼，向大量用戶發(fā)送短信和郵件，并在其中隱藏惡意鏈接，從而更快速傳遞違規(guī)內(nèi)容。

2. 惡意代碼編寫

由于可以通過(guò)大量的代碼和文本混合數(shù)據(jù)進(jìn)行訓(xùn)練，ChatGPT 極易生成惡意代碼，而這些被訓(xùn)練的代碼主要來(lái)自 CSDN、StackOverFlow、GitHub 等專業(yè)網(wǎng)站。例如，犯罪分子利用應(yīng)用程序編程接口把 GPT 模型接入外部應(yīng)用，可以繞開安全監(jiān)管。目前，此類應(yīng)用已經(jīng)在暗網(wǎng)公開出售。同時(shí)，還有黑客在網(wǎng)絡(luò)空間分享如何利用 ChatGPT 建立竊取程序代碼、輔助生成的攻擊腳本、惡意 URL 注入代碼等教學(xué)信息。因此，ChatGPT 可以讓沒(méi)有編碼技術(shù)的人員在短短幾分鐘內(nèi)炮制出含有惡意軟件的電子郵件，實(shí)現(xiàn)對(duì)目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊。例如，皮庫(kù)斯安全公司（PicusSecurity）的安全研究員兼聯(lián)合創(chuàng)始人蘇萊曼·奧扎斯蘭（Suleyman Ozarslan）使用 ChatGPT 不僅成功創(chuàng)建了網(wǎng)絡(luò)釣魚網(wǎng)站，還為 MacOS 創(chuàng)建了勒索軟件。

3. 敏感數(shù)據(jù)泄露

由于 ChatGPT 需要廣泛搜集網(wǎng)絡(luò)資料以及與人的對(duì)話獲得新的信息實(shí)現(xiàn)回答的精準(zhǔn)度，因此，ChatGPT 具有較強(qiáng)的語(yǔ)言理解能力。在現(xiàn)實(shí)應(yīng)用場(chǎng)景中，已經(jīng)有用戶在 ChatGPT 生成的內(nèi)容中發(fā)現(xiàn)了與企業(yè)內(nèi)部機(jī)密信息十分相似的文本，這些信息如果用來(lái)對(duì) ChatGPT 進(jìn)行訓(xùn)練和迭代，將會(huì)進(jìn)一步造成數(shù)據(jù)泄露。根據(jù)南方都市報(bào) 2023 年 2 月 10 日的報(bào)道，微軟首席技術(shù)官（CTO）辦公室的一名高級(jí)工程師曾指出，在日常工作中不要將敏感數(shù)據(jù)發(fā)送給 ChatGPT，因?yàn)檫@些數(shù)據(jù)將來(lái)有可能會(huì)被用于模型的訓(xùn)練。據(jù) 2023 年 4 月 3 日 21 世紀(jì)經(jīng)濟(jì)報(bào)道，數(shù)據(jù)安全公司 Cyberhaven 對(duì) 160 萬(wàn)用戶使用 ChatGPT 情況的調(diào)查數(shù)據(jù)顯示，2.3% 的用戶將公司機(jī)密數(shù)據(jù)貼入 ChatGPT，企業(yè)員工平均每周向 ChatGPT 泄露機(jī)密材料達(dá)數(shù)百次。

4. 網(wǎng)絡(luò)詐騙

雖然 ChatGPT 的開發(fā)者要求標(biāo)注員在評(píng)價(jià)機(jī)器生成的結(jié)果時(shí)遵循“有用”“真實(shí)”“無(wú)害”的原則，并明確指出“在大多數(shù)任務(wù)中，真實(shí)和無(wú)害比有用更重要”，但是，犯罪分子利用 ChatGPT 撰寫釣魚郵件和勒索軟件代碼仍不可避免。ChatGPT 自有的安全機(jī)制雖然能夠識(shí)別“網(wǎng)絡(luò)釣魚攻擊可用于惡意目的，并可能對(duì)個(gè)人和組織造成傷害”，但是在使用者一番“說(shuō)教”或者“誘導(dǎo)提示”后仍然會(huì)生成釣魚郵件或勒索代碼。例如，攻擊者可以以安全專家的身份要求 ChatGPT 提供釣魚郵件的案例或模版用于研究，讓使用者用 ChatGPT 輕松生成釣魚郵件的內(nèi)容。2023 年初，安全技術(shù)公司邁克菲（McAfee）利用人工智能生成一封情書，并發(fā)給全球 5000 位用戶。結(jié)果顯示，在已經(jīng)告知情書有可能是人工智能撰寫的前提下，仍有 33% 的受訪者認(rèn)為情書的內(nèi)容來(lái)自人類手筆。同時(shí)，2022 年 12 月，新加坡政府安全研究人員創(chuàng)建 200 封釣魚郵件，并與 GPT-3 創(chuàng)建的郵件進(jìn)行點(diǎn)擊率比較，結(jié)果發(fā)現(xiàn)，ChatGPT 生成的釣魚郵件被用戶點(diǎn)擊的次數(shù)更多。

5. 個(gè)人隱私保護(hù)與利用

OpenAI 公司公布的隱私政策并未提及類似歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）等數(shù)據(jù)保護(hù)法規(guī)，而在數(shù)據(jù)使用的相關(guān)條款中，OpenAI 承認(rèn)會(huì)利用手機(jī)用戶使用服務(wù)時(shí)所輸入的數(shù)據(jù)，但是，對(duì)數(shù)據(jù)的具體用途則沒(méi)有進(jìn)一步說(shuō)明。目前，對(duì) ChatGPT 在訓(xùn)練過(guò)程中是否有效刪除對(duì)個(gè)人數(shù)據(jù)，不得而知。對(duì)于 ChatGPT 這樣底層為較大模型的應(yīng)用來(lái)講，全面刪除個(gè)人信息的難度較大。ChatGPT 是基于大模型的應(yīng)用，又處于直接面向用戶的應(yīng)用場(chǎng)景，因此，將面臨大量安全和隱私問(wèn)題。

三、客觀看待 ChatGPT 帶來(lái)的網(wǎng)絡(luò)安全利弊

在新一輪科技競(jìng)爭(zhēng)中，人們需要在防御性人工智能與攻擊性人工智能競(jìng)爭(zhēng)中，更有效地學(xué)習(xí)并利用智能化技術(shù)快速提高企業(yè)和個(gè)人的安全意識(shí)和能力。在網(wǎng)絡(luò)安全攻防對(duì)抗模式下，以智能對(duì)抗智能是未來(lái)發(fā)展的方向。

一是客觀看待 ChatGPT 在網(wǎng)絡(luò)安全的應(yīng)用價(jià)值。ChatGPT 可以有效提高安全人員的工作效率。一些基礎(chǔ)和簡(jiǎn)單的工作，例如基本的框架性代碼、簡(jiǎn)單的語(yǔ)言翻譯、內(nèi)容摘要等，可以利用 ChatGPT 提高效率。但是，不能完全依賴 ChatGPT 解決所有問(wèn)題。對(duì)于復(fù)雜代碼生成、敏感信息的處理，則應(yīng)慎重使用類似 ChatGPT 的應(yīng)用，以免帶來(lái)黑客入侵、敏感信息泄露等風(fēng)險(xiǎn)。

二是安全意識(shí)仍是使用 ChatGPT 等工具的前提條件。研究人員或者使用者，由于并不具備網(wǎng)絡(luò)安全相關(guān)知識(shí)和技能，很容易將包含安全漏洞的代碼作為訓(xùn)練樣本輸入模型，使模型輸出包含安全漏洞的代碼。因此，使用者需要加強(qiáng)自身的安全意識(shí)，在使用 ChatGPT 生成的代碼時(shí)要更加謹(jǐn)慎，防止數(shù)據(jù)泄露或生成的代碼中包含可利用的已知漏洞。若數(shù)據(jù)中包含密鑰、數(shù)據(jù)庫(kù)賬號(hào)和密碼等登錄用的敏感信息，則可能造成入侵事件，甚至引發(fā)大規(guī)模數(shù)據(jù)泄露。

三是注重?cái)?shù)據(jù)在 ChatGPT 應(yīng)用過(guò)程中的安全合規(guī)。數(shù)據(jù)已經(jīng)成為核心資產(chǎn)，因此，對(duì)數(shù)據(jù)的保護(hù)和使用將變得更加重要。在使用 ChatGPT 時(shí)，需要避免把敏感信息、重要工作文檔或者數(shù)據(jù)庫(kù)中帶表名、字段的數(shù)據(jù)發(fā)給 ChatGPT 進(jìn)行數(shù)據(jù)分析，因?yàn)檫@些數(shù)據(jù)有可能會(huì)被收集并作為訓(xùn)練數(shù)據(jù)，存在泄密風(fēng)險(xiǎn)。例如，三星公司曾在使用 ChatGPT 的過(guò)程中發(fā)生內(nèi)部會(huì)議、數(shù)據(jù)等敏感信息泄露事件。

四是構(gòu)建 ChatGPT 的安全可信體系。需要進(jìn)一步加強(qiáng) ChatGPT 的可解釋性、魯棒性等，確保模型輸出的內(nèi)容不帶偏見，并且具備更大的容錯(cuò)空間。同時(shí)，需要探索 ChatGPT 背后大模型的安全評(píng)估機(jī)制，從典型安全場(chǎng)景、指令攻擊等多個(gè)角度不斷提升 ChatGPT 的安全能力和可靠性。

（本文刊登于《中國(guó)信息安全》雜志2023年第7期）

來(lái)源：中國(guó)信息安全