在网络安全领域,ChatGPT在有效协助IT安全团队维护网络安全环境的同时,也可以被威胁行为者用来编写恶意软件,造成极大的安全威胁。在该系统发布之初,曾有一位工程师通过“循序善诱”的方式诱导ChatGPT写出“毁灭人类计划书”,其内容步骤包括入侵各国计算机系统、控制通讯、破坏交通系统等,甚至涵盖了对应的Python代码。
近期,威胁情报公司Recorded Future更是在暗网发现多达1500多条关于使用ChatGPT进行恶意软件开发的参考资料。该系统的强大功能降低了编写恶意软件代码的门槛,也降低了网络犯罪的成本,攻击者借助AI生成的代码让网络攻击变得更快。
ChatGPT的能否掀起恶意软件编写浪潮?
答案是:暂且不能。曾参与编写银行木马病毒的Marcus Hutchins为了验证ChatGPT的能力,编写出了一个勒索软件程序组件—文件加密例程。他尝试让ChatGPT把该组件组合成一个完整的恶意软件,但事实证明,ChatGPT存在严重缺陷,甚至无法正确打开文件。2022年末,网络安全供应商CheckPoint尝试使用ChatGPT来构建一款新型恶意软件。然而,想要它一个完整的代码,必须由专业程序员提供一步步的引导和提示。ChatGPT的大多数语言模型缺乏对上下文的联系,具有一定局限性。事实上,ChatGPT等AI工具的核心应用方式并不是取代人类进行操作,而是充当一个高效助手。
ChatGPT推动网络攻防的AI化发展
作为OpenAI的创始人之一,埃隆·马斯克曾称ChatGPT是“可怕的好东西”。虽然ChatGPT可能成为黑客的温床,降低了网络攻击的准入门槛,但也可以用来帮助安全人员提高恶意信息识别和抵御网络攻击的能力。例如,可以快速识别系统中的可疑活动,帮助企业或政府等机构及时制定相应的安全策略。此外,还可以“用魔法来打败魔法”黑客利用ChatGPT生成攻击代码,IT安全团队也同样可以使用ChatGPT生成防御代码,有效应对攻击。
未来的网络世界可能出现一条“从网络钓鱼电子邮件开始到恶意勒索软件结束”的AI完整攻击链,因此,ChatGPT等AI平台的法律法规应该更加完善,以有效管控其用途,遏制其相关犯罪。同时,企业或政府的相关机构也应该大力推动AI安全防御工具等的建设,通过自动建立网络、布局和架构防御网,自动监测系统安全环境,提高网络安全维护能力。
京公网安备 11010802033237号
