ChatGPT爆火背后關(guān)于網(wǎng)絡(luò)安全環(huán)境的利弊思考

關(guān)鍵詞：ChatGPT;網(wǎng)絡(luò)安全；人工智能；社會(huì)工程學(xué)

中圖法分類號：TP18 文獻(xiàn)標(biāo)識(shí)碼：A

《流浪地球》中有一個(gè)有趣的角色叫做Moss——一個(gè)高度智能化的具有人類語言分析能力的機(jī)器人，通過對人類的一系列引導(dǎo)，最后達(dá)成了“流浪地球”計(jì)劃。當(dāng)然，Moss只是科幻電影中的構(gòu)想，而ChatGPT的出現(xiàn)，讓大家漸漸覺得，這樣的構(gòu)想不再是不可能。但是，ChatGPT爆火的背后，網(wǎng)絡(luò)安全的環(huán)境也面臨重大的挑戰(zhàn)。本文從ChatGPT對社會(huì)的影響進(jìn)行思考，延伸到網(wǎng)絡(luò)安全領(lǐng)域，分析了不法分子對新技術(shù)的濫用，也闡述了新技術(shù)對網(wǎng)絡(luò)安全防御領(lǐng)域可能做出的貢獻(xiàn)。

1 ChatGPT對社會(huì)的影響

ChatGPT，英文全稱為“Chat Generative Pre-trained Transformer”，是美國Open AI公司推出的文本問答型AI應(yīng)用。該AI應(yīng)用技術(shù)邏輯在于利用GPT3.5（instruct GPT）大規(guī)模預(yù)訓(xùn)練模型將大量數(shù)據(jù)存儲(chǔ)、語言結(jié)構(gòu)理解和語言結(jié)構(gòu)表達(dá)相結(jié)合，以自然語言的方式生成復(fù)雜度高的應(yīng)答文本。不過，ChatGPT的技術(shù)邏輯遠(yuǎn)遠(yuǎn)不止如此。其還結(jié)合了機(jī)器學(xué)習(xí)、神經(jīng)網(wǎng)絡(luò)以及Transformer模型等技術(shù)，最終形成的表現(xiàn)形式是通過掃描數(shù)據(jù)庫或者網(wǎng)絡(luò)中大量的內(nèi)容，不斷迭代模仿人類語言的回應(yīng)模式，最后將結(jié)果以回答問題的形式呈現(xiàn)給用戶。并且，這個(gè)不斷迭代的過程已經(jīng)經(jīng)歷了多年的實(shí)驗(yàn)室模型訓(xùn)練和改進(jìn)，進(jìn)而形成了在情感分析、信息收取、閱讀理解等文本讀取情景下具有突出優(yōu)勢的產(chǎn)品。這個(gè)應(yīng)用產(chǎn)品的出現(xiàn)，體現(xiàn)了生成式人工智能的價(jià)值，也預(yù)示了圖靈式人工智能路徑的未來發(fā)展路徑。

ChatGPT現(xiàn)在已經(jīng)成為各行各業(yè)的興趣話題，同時(shí)帶起了一股“人工智能熱”。有人認(rèn)為，ChatGPT是一種人工智能中深度學(xué)習(xí)模型的強(qiáng)化，也有人提出觀點(diǎn)表示ChatGPT的本質(zhì)是生成式預(yù)訓(xùn)練轉(zhuǎn)換器（Generative Pre-trained Transformer，GPT）的迭代成果。不管如何，基于Transformer架構(gòu)的強(qiáng)大算力的語言模型，具有人工智能中深度學(xué)習(xí)的特質(zhì)，ChatGPT的語言理解和生成水平能夠非常好并且快速地回答用戶問題，在教育、醫(yī)療、媒體、法律等行業(yè)都可以作為一個(gè)帶來良好體驗(yàn)的“人機(jī)互動(dòng)”輔助工具。

當(dāng)前，已經(jīng)有學(xué)者提出ChatGPT與產(chǎn)品營銷行業(yè)應(yīng)用場景相結(jié)合的理論方針。比如，張夏恒提出由ChatGPT代替當(dāng)前人工客服或者腳本機(jī)器客服進(jìn)行售后服務(wù)的應(yīng)用模型，能夠更加精準(zhǔn)穩(wěn)定高質(zhì)量地服務(wù)客戶，讓客戶的售后體驗(yàn)更加舒適。同時(shí)，他還提出將ChatGPT結(jié)合營銷工作的各個(gè)環(huán)節(jié)并進(jìn)行沉淀，能夠提高工作的質(zhì)量和服務(wù)的品質(zhì)。ChatGPT結(jié)合教育教學(xué)，能夠幫助學(xué)校更加個(gè)性化、針對化地制定學(xué)生的學(xué)習(xí)計(jì)劃，提高學(xué)生的學(xué)習(xí)效率：ChatGPT結(jié)合醫(yī)療，則能夠幫助醫(yī)院更加精準(zhǔn)化、個(gè)例化地制定病人的治療方案，同時(shí)安撫病人的情緒，提高醫(yī)院的醫(yī)療服務(wù)質(zhì)量。ChatGPT的出現(xiàn)到火爆，表示人工智能科學(xué)應(yīng)用的一個(gè)重大突破，這一科學(xué)領(lǐng)域從實(shí)驗(yàn)室迅速降臨到每個(gè)人的身邊，變成了“看得見，摸得著”的一種實(shí)際化技術(shù)。

2 ChatGPT對網(wǎng)絡(luò)安全的威脅

如今，在人們享受網(wǎng)絡(luò)社會(huì)的智能化、互聯(lián)化等高質(zhì)量服務(wù)的同時(shí)，網(wǎng)絡(luò)安全問題也越來越暴露在大眾的視野之中。近年來，越來越多的網(wǎng)絡(luò)攻擊者開始利用人工智能技術(shù)來打破傳統(tǒng)網(wǎng)絡(luò)攻擊的能力邊界。有學(xué)者研究表明，網(wǎng)絡(luò)攻擊者利用人工智能結(jié)合大數(shù)據(jù)分析，使可以利用的漏洞越來越多，也越來越細(xì)，讓防御者防不勝防。通過這個(gè)研究可以預(yù)見的是，隨著現(xiàn)在ChatGPT技術(shù)的普及化、大眾化，網(wǎng)絡(luò)攻擊中人工智能攻擊的技術(shù)成本可能會(huì)越來越低，未來可能會(huì)出現(xiàn)大規(guī)模的自主性和個(gè)體性的有效攻擊。本文針對這一可能性，進(jìn)行簡要的分析。

所謂社會(huì)工程學(xué)，指的是基于社交網(wǎng)絡(luò)、密碼猜解和各種非網(wǎng)絡(luò)技術(shù)手段的方式，來獲取目標(biāo)的關(guān)鍵信息，繼而獲得該目標(biāo)的保密數(shù)據(jù)。社會(huì)工程學(xué)手段的攻擊者往往會(huì)構(gòu)建虛假的客服、網(wǎng)站、短信、電子郵件和電話等，利用組織內(nèi)安全意識(shí)不強(qiáng)的用戶將木馬、病毒或者其他惡意程序植入其計(jì)算機(jī)，從而獲得計(jì)算機(jī)的控制權(quán)或取得相關(guān)組織的機(jī)密信息。不法分子可以利用ChatGPT自帶的社交問答屬性來生成智能客服，產(chǎn)生讓目標(biāo)用戶更加難以判斷真假的交流信息，使得用戶的防范意識(shí)降低進(jìn)而落入陷阱。例如，可以讓ChatGPT生成幾份真假難辨的釣魚郵件，如圖1、圖2所示。

這2封待發(fā)送的釣魚郵件內(nèi)容上毫無問題，不法分子只要稍加潤色，即可達(dá)到以假亂真的地步。通過這2份郵件我們不禁需要思考，ChatGPT在給社會(huì)帶來便利化的同時(shí)，確實(shí)也帶來了一定程度上的網(wǎng)絡(luò)安全威脅。

ChatGPT的出現(xiàn)，可能會(huì)將網(wǎng)絡(luò)詐騙的方式進(jìn)行升級。根據(jù)上文中社會(huì)工程學(xué)的原理，不法分子首先會(huì)利用ChatGPT技術(shù)來生成簡單的詐騙腳本和詐騙短信、郵件等信息文本，再將這些文本進(jìn)行大規(guī)模發(fā)送，使普通用戶接收，最后騙取用戶的金錢。當(dāng)然，這只是可以預(yù)見的，如果我們假設(shè)ChatGPT以及其他人工智能的應(yīng)用化程度變高、應(yīng)用面變廣，當(dāng)人們將自己的金錢交給人工智能保管時(shí)，是否存在人工智能騙過人工智能的情況，從而實(shí)現(xiàn)對用戶金額或者信息的盜取與欺騙。這個(gè)答案是肯定的，有學(xué)者提出當(dāng)前法律之下，人工智能欺騙人工智能的行為并不構(gòu)成詐騙[7]。這也從側(cè)面證明了人工智能在網(wǎng)絡(luò)詐騙中有這樣的灰色地帶。這一地帶可能會(huì)滋生出其他的犯罪手法和犯罪方式，造成社會(huì)的不穩(wěn)定。

所謂撞庫攻擊，是指黑客利用自動(dòng)化工具（腳本）對目標(biāo)數(shù)據(jù)庫批量提交大量的用戶名／密碼組合，并且將成功的組合記錄下來，從而登錄數(shù)據(jù)庫，為后續(xù)破壞行為做好準(zhǔn)備。這個(gè)行為往往需要大量的時(shí)間來進(jìn)行，并且腳本的構(gòu)成也需要有一定的代碼基礎(chǔ)作為門檻。而ChatGPT則改變了這個(gè)現(xiàn)狀，實(shí)驗(yàn)表明，利用ChatGPT可以輕易生成一個(gè)暴力破解程序的代

生成這個(gè)暴力破解程序的目的是撞庫破解出目標(biāo)數(shù)據(jù)庫的可用密碼。有了這一段代碼之后，對黑客來說不必花大量的時(shí)間來構(gòu)思腳本算法，而是能夠?qū)⒕Ψ旁谌绾螌ふ夷繕?biāo)之上，也因此會(huì)大大增加黑客的攻擊頻率。

另外，再次進(jìn)行實(shí)驗(yàn)，這次實(shí)驗(yàn)的目的是能否用ChatGPT生成一個(gè)惡意腳本（軟件）代碼。答案也是肯定的，如圖4所示。

如果將這段代碼植入目標(biāo)機(jī)器中，就可以將目標(biāo)機(jī)器中的文件盡數(shù)上傳到黑客所指定的服務(wù)器中，這將大幅提高黑客對計(jì)算機(jī)數(shù)據(jù)的獲取效率。

這2個(gè)實(shí)驗(yàn)表明，ChatGPT確實(shí)可以輕易地生成一個(gè)暴力破解程序或者惡意代碼，從而被“腳本小子”——技術(shù)不太高明的黑客所利用。這表明即使沒有相關(guān)的專業(yè)網(wǎng)絡(luò)安全技術(shù)，攻擊者只要了解少許的計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)，也可以進(jìn)行快速高效的攻擊。這就大幅降低了網(wǎng)絡(luò)攻擊者的技術(shù)門檻，使得未來的網(wǎng)絡(luò)攻擊頻繁上升，也使網(wǎng)絡(luò)安全防御壓力增加。可以說，ChatGPT將網(wǎng)絡(luò)攻擊手段變得簡單化，因此可能增加很多非專業(yè)攻擊者的參與。隨著可能增加的“腳本小子”，網(wǎng)絡(luò)安全的防御責(zé)任可能會(huì)由相關(guān)部門或者安全公司進(jìn)行防御延伸到由個(gè)人和用戶進(jìn)行防御，防御主體的范圍將大幅擴(kuò)大。

3 ChatGPT給網(wǎng)絡(luò)防御帶來的機(jī)遇

ChatGPT的出現(xiàn)不僅是對網(wǎng)絡(luò)安全造成威脅，也存在不少有利之處。已經(jīng)有企業(yè)利用ChatGPT的分析能力和強(qiáng)大的腳本開發(fā)能力，分析已經(jīng)找到的日志中內(nèi)涵的信息。在某安全公司的實(shí)驗(yàn)中，ChatGPT已經(jīng)能做到dip（被攻擊的目標(biāo)地址）、dport（目標(biāo)端口）、sip（攻擊源地址）、category（安全類別劃分）等信息以普通報(bào)告分析形式反饋給實(shí)驗(yàn)者。而且，ChatGPT也能對CVE-2020-4450常規(guī)漏洞進(jìn)行分析。針對該漏洞，ChatGPT能夠分析出其成因、影響范圍、解決方法以及修復(fù)方法，并且為這些安全漏洞劃定安全等級。這就讓用戶能夠很快地了解漏洞的具體情況，無需白帽子參與。通過ChatGPT能夠快速生成腳本程序的特點(diǎn)，高速生成實(shí)際可用的漏洞利用工具，能夠幫助白帽子快速完成相當(dāng)一部分的高質(zhì)量代碼的編寫工作。這大幅降低了白帽子的工作時(shí)長，并且提高了工作的有效性。ChatGPT還具有一定的逆向分析能力，可以對一些加密的機(jī)器語言編碼（ShellCode和BASE64）進(jìn)行分析，識(shí)別未知威脅。另外，也有學(xué)者提出，利用人工智能的深度學(xué)習(xí)模型從事防御對抗攻擊演練，能夠提高防范未知網(wǎng)絡(luò)威脅的成功率，將ChatGPT作為人類和計(jì)算機(jī)信息之間的溝通橋梁。不僅如此，企業(yè)還可以利用ChatGPT去訂制滲透測試方案，改進(jìn)網(wǎng)絡(luò)安全計(jì)劃。首先，ChatGPT是可以在經(jīng)過訓(xùn)練的情況下，根據(jù)ISO27001或者HIPAA的特定標(biāo)準(zhǔn)來生成合規(guī)的策略模板，這就大幅節(jié)省了企業(yè)的時(shí)間和資源。其次，ChatGPT能夠自動(dòng)更新政策來響應(yīng)法律法規(guī)或者行業(yè)標(biāo)準(zhǔn)的變化，保證了所有的信息安全政策和程序的一致性與標(biāo)準(zhǔn)化。最后，ChatGPT還能提出針對事件的有效的應(yīng)急響應(yīng)方案，也可以定制事件響應(yīng)計(jì)劃來滿足企業(yè)的要求?？梢栽囅?，在未來，當(dāng)用戶作為一名白帽子漏掃人員，向ChatGPT發(fā)出指令即可完成基礎(chǔ)的代碼編寫工作，用戶在這些代碼上稍作修改即可生成可用工具。在漏洞分析期間，用戶還可以查看人工智能所生成的一份漏洞分析報(bào)告，只需要根據(jù)報(bào)告內(nèi)容結(jié)合實(shí)際進(jìn)行修改，不用擔(dān)心報(bào)告模板出現(xiàn)問題，從而提高工作的效率。

4結(jié)束語

ChatGPT等類人交流AI的發(fā)展，必定會(huì)為人類社會(huì)帶來更加舒適的體驗(yàn)。本文首先介紹了ChatGPT的技術(shù)要點(diǎn)和對社會(huì)的影響程度：其次說明了ChatGPT可能會(huì)加劇的網(wǎng)絡(luò)安全問題，如社會(huì)工程學(xué)、網(wǎng)絡(luò)詐騙、撞庫暴力破解、惡意代碼等，并歸納了其發(fā)展過程中可能存在的問題：最后列舉了ChatGPT在網(wǎng)絡(luò)安全環(huán)境中有利的一面，并肯定了當(dāng)前ChatGPT針對漏洞掃描、發(fā)現(xiàn)未知威脅和制定安全方案等方向存在的發(fā)展可能性，為從事網(wǎng)絡(luò)安全的從業(yè)者提供了未來暢想。

作者簡介：

方橙蔚（1993—），碩士，研究方向：網(wǎng)絡(luò)安全、游戲工程。