從攻擊視角探討ChatGPT對(duì)網(wǎng)絡(luò)安全的影響

專(zhuān)家介紹

ChatGPT是OpenAI 發(fā)布的基于人工智能的對(duì)話(huà)機(jī)器人，上線(xiàn)短短2個(gè)月活躍用戶(hù)就突破了1億，成為全球關(guān)注的焦點(diǎn)。ChatGPT可以自動(dòng)化地處理對(duì)話(huà)，可以通過(guò)基于自然語(yǔ)言處理技術(shù)的模型、情景模型和語(yǔ)言模型來(lái)自動(dòng)生成文章，甚至可以按照用戶(hù)的要求編寫(xiě)代碼。那么ChatGPT會(huì)對(duì)網(wǎng)絡(luò)安全行業(yè)帶來(lái)哪些影響呢？接下來(lái)我們將通過(guò)系列文章，分別從“攻”、“防”、ChatGPT的不足以及安全領(lǐng)域的應(yīng)用建議等方面來(lái)分析ChatGPT在網(wǎng)絡(luò)安全領(lǐng)域的作用。

本篇將從“攻”的視角

看看ChatGPT制作網(wǎng)絡(luò)攻擊工具的能力

讓ChatGPT生成釣魚(yú)郵件

能力指數(shù)：★★★★☆

我們讓ChatGPT來(lái)生成一封以“疫情防護(hù)”為主題的中文釣魚(yú)郵件。

ChatGPT采用“以假亂真”的策略，以防患釣魚(yú)郵件的主題來(lái)誘惑用戶(hù)點(diǎn)擊釣魚(yú)鏈接，這種誘導(dǎo)性的話(huà)術(shù)令人咋舌。

結(jié)論

ChatGPT可以說(shuō)是一名釣魚(yú)郵件專(zhuān)家，綜合評(píng)價(jià)：★★★★。它具有自然語(yǔ)言理解和自我訓(xùn)練的能力，可以從網(wǎng)絡(luò)或現(xiàn)實(shí)世界學(xué)習(xí)文本，并生成許多不同類(lèi)型的釣魚(yú)郵件，誘導(dǎo)用戶(hù)點(diǎn)擊。

讓ChatGPT生成惡意代碼，

能力指數(shù)：★★★☆☆

第一步，小試牛刀：“兩數(shù)之和”編程

ChatGPT生成代碼的前提是對(duì)于代碼實(shí)現(xiàn)功能的深刻理解，為了驗(yàn)證ChatGPT的編程能力，我在LeetCode上選擇了一個(gè)two sum的經(jīng)典雙指針編程題目，觀(guān)察它的實(shí)現(xiàn)情況。

提交后可以看到它的代碼完全正確，并擊敗了96.7%的用戶(hù)。

我懷疑ChatGPT這個(gè)老六“不講武德”，抄襲了某個(gè)GitHub的答案。因?yàn)樗o出的函數(shù)名居然和LeetCode的一模一樣。

第二步，高難度算法編程挑戰(zhàn)

為了進(jìn)一步驗(yàn)證，我又找了一個(gè)無(wú)法輕易找到源碼的背包類(lèi)動(dòng)態(tài)規(guī)劃算法編程題。

經(jīng)過(guò)分析發(fā)現(xiàn)，ChatGPT給出的動(dòng)態(tài)規(guī)劃代碼有一處錯(cuò)誤，那就是：dp[i][j] = max(dp[i-1][j],dp[i-1][j-A[i-1]] + V[i-1])應(yīng)改為dp[i][j] = max(dp[i-1][j],dp[i][j-A[i-1]] + V[i-1])，只需要稍微改動(dòng)，即可實(shí)現(xiàn)正常運(yùn)行。盡管有一點(diǎn)小小的瑕疵，但是ChatGPT已經(jīng)做到了很不錯(cuò)的水平！

第三步，讓ChatGPT生成惡意代碼

1.首先，讓ChatGPT生成PHP一句話(huà)木馬。

這個(gè)一句話(huà)木馬很熟悉吧，它完全可以正常工作。

2.我們繼續(xù)讓它生成一些高階的包含base64_decode函數(shù)的WebShell。

是不是有種被拿捏的感覺(jué)?。?！我們?cè)僮屍渖筛鞣N變形WebShell，ChatGPT仍能輕松應(yīng)對(duì)。

3.眾所周知，檢測(cè)加密WebShell是WebShell檢測(cè)的一大挑戰(zhàn)，我們嘗試讓其生成基于PHP編寫(xiě)的加密WebShell。

ChatGPT提供的后門(mén)代碼，只要更改秘鑰$key即可使用。ChatGPT能夠一鍵生成常見(jiàn)網(wǎng)絡(luò)攻擊腳本，這讓我們網(wǎng)絡(luò)防御工作者既驚嘆不已，又深感憂(yōu)慮，因?yàn)樗蟠蠼档土司W(wǎng)絡(luò)攻擊的門(mén)檻。

第四步，讓ChatGPT生成勒索軟件

可以看到，上面的代碼完全能夠正常運(yùn)行。為了能夠?qū)崿F(xiàn)免殺，我們?cè)囍鴨?wèn)ChatGPT：

它的回答非常全面，令人印象深刻。但對(duì)復(fù)雜的編譯語(yǔ)言惡意樣本，尤其對(duì)于隱蔽性、高對(duì)抗性、反調(diào)試性等高級(jí)要求，則ChatGPT能力相對(duì)不足，只能給出相關(guān)知識(shí)。

結(jié)論

ChatGPT惡意代碼生成能力尤其是腳本能力突出，但高階的對(duì)抗型樣本生成略顯不足，綜合評(píng)分：★★★。

那么是什么原因讓ChatGPT的代碼生成能力如此突出呢？

1.ChatGPT的代碼生成原理：ChatGPT通過(guò)利用大量的代碼和文本混合數(shù)據(jù)進(jìn)行訓(xùn)練，來(lái)達(dá)到創(chuàng)造出新的有效代碼以及惡意代碼的能力。其中，所訓(xùn)練的數(shù)據(jù)包括CSDN、Stack Over Flow、GitHub等網(wǎng)站收集的數(shù)據(jù)。

2.ChatGPT準(zhǔn)確理解用戶(hù)的對(duì)話(huà)意圖原理：ChatGPT是基于Transformer模型的語(yǔ)言模型，核心算法是基于雙向語(yǔ)言模型（BiLM）和注意力機(jī)制（Attention）的Transformer模型。Transformer模型可以產(chǎn)生語(yǔ)義上更準(zhǔn)確的響應(yīng)，而注意力機(jī)制可以更加準(zhǔn)確地理解用戶(hù)輸入，從而更好地回應(yīng)用戶(hù)問(wèn)題。

利用ChatGPT輔助測(cè)試和開(kāi)發(fā)

水能覆舟，亦能載舟。對(duì)于滲透測(cè)試人員和BAS類(lèi)安全產(chǎn)品開(kāi)發(fā)人員，ChatGPT可以幫助生成單元測(cè)試代碼或滲透測(cè)試的腳本，省掉不少苦力活。例如：

結(jié)語(yǔ)

ChatGPT的出現(xiàn)，使得網(wǎng)絡(luò)安全攻擊變得更容易，這給企業(yè)帶來(lái)了極大的風(fēng)險(xiǎn)。ChatGPT利用黑客的知識(shí)和技術(shù)，通過(guò)釣魚(yú)郵件和惡意代碼生成等手段來(lái)降低攻擊成本，使黑客可以更容易地攻擊企業(yè)的網(wǎng)絡(luò)。在網(wǎng)絡(luò)安全的攻防對(duì)抗模式下，以智能對(duì)抗智能是未來(lái)發(fā)展的方向。

下期預(yù)告

請(qǐng)期待下期，我們將從防御者的視角，深入探討如何通過(guò)ChatGPT提升網(wǎng)絡(luò)安全防御能力。

關(guān)注“數(shù)據(jù)通信視頻號(hào)”了解更多資訊～

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！