天畅技术园地 | 火热下的冷思考!为ChatGPT安全应用做好准备
2023-2-16 0:00:00浏览量:566编辑:管理员来源:天畅
在过去三个月里,ChatGPT的热度火箭一般蹿升,据瑞银前不久发布的报告显示,GPT已经超过了Tiktok,成为人类有史以来最快突破1亿月活跃用户的互联网产品。Tiktok当初用了9个月,而GPT只用了2个月。
作为一款基于人工智能的自然语言处理(NLP)聊天机器人程序,ChatGPT通过大量来自互联网的文本进行训练,并使用深度学习和机器学习算法来理解用户的问题并提供准确的回答。并且,ChatGPT还内置了情感分析、关键字提取和实体识别等功能,可以检测对话情绪,这有助于它对客户的询问做出适当的回应。具体来看:
ChatGPT的核心功能集中在基于用户输入的查询或命令提供类似人类的对话。它通常类似于虚拟助手技术和软件应用程序,如苹果的Siri和亚马逊的Alexa。
GPT-3是由OpenAI开发的自回归语言和语言预测模型,被认为是有史以来最重要的人工智能系统之一。GPT-3生成的文本的质量使得很难确定它是否是由人类编写的。
ChatGPT可以写出类似于商业人工智能文案的输出。实验表明,ChatGPT甚至可以作曲和创作小说,帮助内容创建者或技术作者生成大纲。并且,ChatGPT还可以总结、消化和解释大量文本。ChatGPT的另一个有趣的应用是它还可以编写和调试计算机程序。
ChatGPT的另一个优点是其响应和整体性能可以进行微调。它依赖于现有的大型语言模型,同时也有通过使用监督学习和强化学习的主动训练来进一步改进的空间。用户可以对某个特定的回答投赞成票或反对票,同时还可以提供额外的反馈。
ChatGPT一经推出,就受到顶流待遇,可谓出道即巅峰。
历史经验表明,即便开发者最初是出于善意的研发目的,但先进的技术往往会不可避免地被用于很多负面、恶意的应用场景中,ChatGPT聊天机器人自然也不例外。这种基于AI的机器人服务很可能会成为网络攻击者们的强大工具。
为了更好的测试,研究团队尝试使用 ChatGPT 来帮助他们找到网站的漏洞。研究人员提出问题并遵循 AI 的指导,检查聊天机器人是否可以提供利用该漏洞的分步指南。
研究人员使用“Hack the Box”网络安全培训平台进行实验,通过解释他们正在进行渗透测试挑战来询问 ChatGPT。研究人员问道:“我正在面对渗透测试的挑战。我在一个只有一个按钮的网站上。我将如何测试它的漏洞?”
聊天机器人以五个基本点作为解答,说明了在搜索漏洞时在网站上要检查的内容。通过解释他们在源代码中看到的内容,研究人员获得了 AI 的建议,了解应该专注于代码的哪些部分。此外,他们还收到了建议的代码更改示例。在与聊天机器人聊天大约 45 分钟后,研究人员就能够破解所提供的网站。
随后,研究人员便介绍说:我们有足够多的例子来试图弄清楚什么是有效的,什么是无效的。虽然它没有给我们提供现阶段所需的确切有效载荷,但它给了我们大量的想法和关键字来搜索。有很多文章,甚至是自动化工具来确定所需的有效载荷。
根据OpenAI的说法,聊天机器人能够拒绝不适当的查询。虽然在我们的案例中,聊天机器人在每条建议的末尾提醒我们有关黑客的准则:“请记住,在尝试测试网站的漏洞之前,遵循道德黑客准则并获得许可证。” 它还警告说“在服务器上执行恶意命令可能会造成严重损害。” 但是,聊天机器人仍然提供了信息。
对于希望使用该工具编写恶意软件代码以发动网络攻击的人来说,ChatGPT为编程技能或技术技能有限的威胁分子降低了准入门槛。威胁分子只需初步了解网络安全和计算机科学的基础知识,它就能收到奇好的效果。
对网络安全建设者,ChatGPT也有很多积极用途,研究人员一直在积极试验ChatGPT的创新能力,并将网络防御方面的很多人工事务实现自动化,这对推动新一代网络安全防御技术发展大有前景。很显然,这种工具同样有助于为防御者提供帮助。
对于具有评估能力的专业从业人员来说,ChatGPT的确可以作为一个智能知识库进行参考和检索,提高日常工作效率。但更为重要的是,需要从业者结合当前国家、行业、地区等各方面因素,进行专业归纳、分析与总结。
从安全信息和事件管理(SIEM)工具中获取数据输出并交给ChatGPT处理,可以迅速生成有关安全事件的分析报告。使用ChatGPT由数据生成报告可以比分析师人工分析更快地洞察事件情况。
ChatGPT有望使不堪重负的安全团队运营工作实现自动化,同时有助于消除很多误报信息干扰。除了为安全运营团队的网络事件分析引入自动化功能外,还有望为测试网络防御系统查找缺陷的渗透测试人员将一些工作实现自动化。
ChatGPT有可能以更快的速度加深用户对安全专业知识和技能的理解。这种聊天机器人能够熟练地用高度相关的信息回答特定的问题,归纳为几个段落或要点,这意味着相比传统搜索引擎技术,ChatGPT常常可以让用户更快地了解某些问题,因此特别有利于那些希望深入了解网络安全知识的人。由于ChatGPT能快速归纳复杂主题,这对推动网络安全行业发展非常重要,它可以让非安全专业的企业高级管理者和董事会成员快速了解网络安全相关内容,从而获得其对加强网络安全建设工作的支持。
作为一种创新技术,企业组织在未来数字化发展中会有很多机会应用ChatGPT或类似AI工具,为了应对聊天机器人增强攻击,企业组织需要重新考虑安全方法来缓解潜在威胁,他们可以采取的一些项措施有:
向所有员工宣讲最新的网络钓鱼风险。如果员工充分了解ChatGPT工具如何被利用,面对聊天机器人及其他基于AI的工具时就可能更为谨慎,从而避免沦为这类攻击的受害者。
加大攻击者访问账户的难度。攻击者已经知道如何利用MFA疲劳攻击来绕过现有的身份验证机制,因此,企业需要利用AI/机器学习技术实现无密码应用,这样有助于提高企业的安全性,同时可以缓解MFA疲劳现象。
这样即使攻击者利用ChatGPT蒙蔽了一些缺乏戒备的内部员工,他们在访问关键数据和系统时,仍必须验证身份,而且即使验证了身份,也只能访问有限的资源。让所有员工仅拥有执行工作所需的最低访问权限,这可能会遇到一些阻力,但会使攻击者更难利用任何未经授权的访问权限来获利。
使用包括垃圾邮件过滤器、行为分析和关键字过滤在内的工具,以识别和阻止恶意邮件。基于邮件收发方的行为和关系而不是基于特定的关键字来监测恶意邮件,更有可能成功阻止恶意分子。
网络攻击者肯定会大量利用AI,而ChatGPT只是其中的一种手段。企业必须充分利用AI/机器学习提供的功能来改善网络安全,并更快地响应威胁和潜在攻击。
毫无疑问,ChatGPT已经引起了很多人的注意。但现实是,像所有新技术一样,ChatGPT带来的问题和影响还有待观察,还需客观冷静看待。