ChatGPT
有几项很值得关注,像代码生成(Code generation),在
ChatGPT问世前还无相关应用,但其生成功能很快就广泛传播开来,到处都能见到,真可谓遍地开花。而这些新出现的能力,对网络攻击来说是很趁手的工具。
网络安全问题备受各方关注。此前,OpenAI就开启了一项网络安全资助计划,旨在通过拨款及其他支持方式,推动为网络安全防御者开发具备人工智能的网络安全能力。
就我目前的观察来看,AI尤其是大型语言模型(LLM)的发展,对有能力实施网络攻击的人数增长有一定助力。
OpenAI
大模型或
ChatGPT不联网,即便联网也无法主动攻击网络或主机。然而,对攻击者来说,
AI/LLM是极为顺手的工具。首先,
ChatGPT能为攻击者提供攻击代码或思路,借此实现间接攻击,从而对网络安全构成威胁。其次,
AI生成的深度伪造内容,像真人图片、满是专业术语或类人文字、仿人语音视频等,会大幅提升欺诈或
钓鱼攻击的成功率,这类攻击的真实性将大大提高,成本却会降低。另外,借助
AI辅助的自动化攻击还会提升网络攻击效率,让一些薄弱系统的被攻破几率大幅提高。高级黑客可从LLM间接获取攻击思路以实施入侵,这会造成网络安全威胁,这一情况十分关键。很多人或许会忽视社会学攻击,在我眼中,这可是今年
AI给予攻击者最意外的收获。一个全方位模拟真人(包括
照片、视频、语音、文字语气等)的情况,对网络攻击助力极大,我觉得这项技术日后肯定大有可为。对防御者来说,
AI也有诸多可利用之处。就像我之前分享过的人工智能已在哪些领域超越
人类表现人工智能在网络安全方面如何发挥作用这类内容。LLM(大型语言模型)的诞生,能够助力网络安全防护人员完成诸多工作,像是极为高效且精准的代码静态分析与漏洞检测。我以前也读到过相关文章,如When GPT Meets Program Analysis: Towards Intelligent Detection of
smart Contract Logic Vulnerabilities in GPTScan。目前,
AI的出现与应用,攻防双方都有可利用之处。例如,网络安全方面,GPT - 4可做的事还是不少的。静态分析、恶意代码生成、攻击流程/路径设计、防御策略生成以及动静态检测手段等方面,GPT - 4都能发挥一定作用。对于防御者而言,GPT - 4可更快速精准地进行自动化代码分析与攻击检测。攻击者或许能让GPT - 4分析漏洞,生成攻击方案。目前难以判断新攻击手段以及0day漏洞利用率是否会提高,也不确
定安全策略是否会更快速、全面且稳定。但我觉得,从长远看,GPT - 4或者
AI的优势或许更多在防御方面。攻击者可能还没来得及查找漏洞,防御者就已经在发布之前借助GPT - 4采取了更高效的安全举措与防护。当然,前提是开发者得有一定的安全意识,这和
AI没有关系。想象一下,如果开发者都像CSDN那样,连给用户密码做hash处理都不懂,那我觉得
AI对攻击者更有帮助,对脚本小子来说尤其如此。
