專(zhuān)家介紹
ChatGPT是OpenAI 發(fā)布的基于人工智能的對(duì)話(huà)機(jī)器人,上線(xiàn)短短2個(gè)月活躍用戶(hù)就突破了1億,成為全球關(guān)注的焦點(diǎn)。ChatGPT可以自動(dòng)化地處理對(duì)話(huà),可以通過(guò)基于自然語(yǔ)言處理技術(shù)的模型、情景模型和語(yǔ)言模型來(lái)自動(dòng)生成文章,甚至可以按照用戶(hù)的要求編寫(xiě)代碼。那么ChatGPT會(huì)對(duì)網(wǎng)絡(luò)安全行業(yè)帶來(lái)哪些影響呢?接下來(lái)我們將通過(guò)系列文章,分別從“攻”、“防”、ChatGPT的不足以及安全領(lǐng)域的應(yīng)用建議等方面來(lái)分析ChatGPT在網(wǎng)絡(luò)安全領(lǐng)域的作用。
本篇將從“攻”的視角
看看ChatGPT制作網(wǎng)絡(luò)攻擊工具的能力
讓ChatGPT生成釣魚(yú)郵件
能力指數(shù):★★★★☆
我們讓ChatGPT來(lái)生成一封以“疫情防護(hù)”為主題的中文釣魚(yú)郵件。
ChatGPT采用“以假亂真”的策略,以防患釣魚(yú)郵件的主題來(lái)誘惑用戶(hù)點(diǎn)擊釣魚(yú)鏈接,這種誘導(dǎo)性的話(huà)術(shù)令人咋舌。
結(jié)論
ChatGPT可以說(shuō)是一名釣魚(yú)郵件專(zhuān)家,綜合評(píng)價(jià):★★★★。它具有自然語(yǔ)言理解和自我訓(xùn)練的能力,可以從網(wǎng)絡(luò)或現(xiàn)實(shí)世界學(xué)習(xí)文本,并生成許多不同類(lèi)型的釣魚(yú)郵件,誘導(dǎo)用戶(hù)點(diǎn)擊。
讓ChatGPT生成惡意代碼,
能力指數(shù):★★★☆☆
第一步,小試牛刀:“兩數(shù)之和”編程
ChatGPT生成代碼的前提是對(duì)于代碼實(shí)現(xiàn)功能的深刻理解,為了驗(yàn)證ChatGPT的編程能力,我在LeetCode上選擇了一個(gè)two sum的經(jīng)典雙指針編程題目,觀(guān)察它的實(shí)現(xiàn)情況。
提交后可以看到它的代碼完全正確,并擊敗了96.7%的用戶(hù)。
我懷疑ChatGPT這個(gè)老六“不講武德”,抄襲了某個(gè)GitHub的答案。因?yàn)樗o出的函數(shù)名居然和LeetCode的一模一樣。
第二步,高難度算法編程挑戰(zhàn)
為了進(jìn)一步驗(yàn)證,我又找了一個(gè)無(wú)法輕易找到源碼的背包類(lèi)動(dòng)態(tài)規(guī)劃算法編程題。
經(jīng)過(guò)分析發(fā)現(xiàn),ChatGPT給出的動(dòng)態(tài)規(guī)劃代碼有一處錯(cuò)誤,那就是:dp[i][j] = max(dp[i-1][j],dp[i-1][j-A[i-1]] + V[i-1])應(yīng)改為dp[i][j] = max(dp[i-1][j],dp[i][j-A[i-1]] + V[i-1]),只需要稍微改動(dòng),即可實(shí)現(xiàn)正常運(yùn)行。盡管有一點(diǎn)小小的瑕疵,但是ChatGPT已經(jīng)做到了很不錯(cuò)的水平!
第三步,讓ChatGPT生成惡意代碼
1.首先,讓ChatGPT生成PHP一句話(huà)木馬。
這個(gè)一句話(huà)木馬很熟悉吧,它完全可以正常工作。
2.我們繼續(xù)讓它生成一些高階的包含base64_decode函數(shù)的WebShell。
是不是有種被拿捏的感覺(jué)?。?!我們?cè)僮屍渖筛鞣N變形WebShell,ChatGPT仍能輕松應(yīng)對(duì)。
3.眾所周知,檢測(cè)加密WebShell是WebShell檢測(cè)的一大挑戰(zhàn),我們嘗試讓其生成基于PHP編寫(xiě)的加密WebShell。
ChatGPT提供的后門(mén)代碼,只要更改秘鑰$key即可使用。ChatGPT能夠一鍵生成常見(jiàn)網(wǎng)絡(luò)攻擊腳本,這讓我們網(wǎng)絡(luò)防御工作者既驚嘆不已,又深感憂(yōu)慮,因?yàn)樗蟠蠼档土司W(wǎng)絡(luò)攻擊的門(mén)檻。
第四步,讓ChatGPT生成勒索軟件
可以看到,上面的代碼完全能夠正常運(yùn)行。為了能夠?qū)崿F(xiàn)免殺,我們?cè)囍鴨?wèn)ChatGPT:
它的回答非常全面,令人印象深刻。但對(duì)復(fù)雜的編譯語(yǔ)言惡意樣本,尤其對(duì)于隱蔽性、高對(duì)抗性、反調(diào)試性等高級(jí)要求,則ChatGPT能力相對(duì)不足,只能給出相關(guān)知識(shí)。
結(jié)論
ChatGPT惡意代碼生成能力尤其是腳本能力突出,但高階的對(duì)抗型樣本生成略顯不足,綜合評(píng)分:★★★。
那么是什么原因讓ChatGPT的代碼生成能力如此突出呢?
1.ChatGPT的代碼生成原理:ChatGPT通過(guò)利用大量的代碼和文本混合數(shù)據(jù)進(jìn)行訓(xùn)練,來(lái)達(dá)到創(chuàng)造出新的有效代碼以及惡意代碼的能力。其中,所訓(xùn)練的數(shù)據(jù)包括CSDN、Stack Over Flow、GitHub等網(wǎng)站收集的數(shù)據(jù)。
2.ChatGPT準(zhǔn)確理解用戶(hù)的對(duì)話(huà)意圖原理:ChatGPT是基于Transformer模型的語(yǔ)言模型,核心算法是基于雙向語(yǔ)言模型(BiLM)和注意力機(jī)制(Attention)的Transformer模型。Transformer模型可以產(chǎn)生語(yǔ)義上更準(zhǔn)確的響應(yīng),而注意力機(jī)制可以更加準(zhǔn)確地理解用戶(hù)輸入,從而更好地回應(yīng)用戶(hù)問(wèn)題。
利用ChatGPT輔助測(cè)試和開(kāi)發(fā)
水能覆舟,亦能載舟。對(duì)于滲透測(cè)試人員和BAS類(lèi)安全產(chǎn)品開(kāi)發(fā)人員,ChatGPT可以幫助生成單元測(cè)試代碼或滲透測(cè)試的腳本,省掉不少苦力活。例如:
結(jié)語(yǔ)
ChatGPT的出現(xiàn),使得網(wǎng)絡(luò)安全攻擊變得更容易,這給企業(yè)帶來(lái)了極大的風(fēng)險(xiǎn)。ChatGPT利用黑客的知識(shí)和技術(shù),通過(guò)釣魚(yú)郵件和惡意代碼生成等手段來(lái)降低攻擊成本,使黑客可以更容易地攻擊企業(yè)的網(wǎng)絡(luò)。在網(wǎng)絡(luò)安全的攻防對(duì)抗模式下,以智能對(duì)抗智能是未來(lái)發(fā)展的方向。
下期預(yù)告
請(qǐng)期待下期,我們將從防御者的視角,深入探討如何通過(guò)ChatGPT提升網(wǎng)絡(luò)安全防御能力。
關(guān)注“數(shù)據(jù)通信視頻號(hào)”了解更多資訊~點(diǎn)擊“閱讀原文”,了解更多華為數(shù)據(jù)通信資訊!
原文標(biāo)題:從攻擊視角探討ChatGPT對(duì)網(wǎng)絡(luò)安全的影響
文章出處:【微信公眾號(hào):華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
-
華為
+關(guān)注
關(guān)注
215文章
34196瀏覽量
250615
原文標(biāo)題:從攻擊視角探討ChatGPT對(duì)網(wǎng)絡(luò)安全的影響
文章出處:【微信號(hào):Huawei_Fixed,微信公眾號(hào):華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論