ChatGPT爆火背后关于网络安全环境的利弊思考
2023-07-10方橙蔚
关键词:ChatGPT;网络安全;人工智能;社会工程学
中图法分类号:TP18 文献标识码:A
《流浪地球》中有一个有趣的角色叫做Moss——一个高度智能化的具有人类语言分析能力的机器人,通过对人类的一系列引导,最后达成了“流浪地球”计划。当然,Moss只是科幻电影中的构想,而ChatGPT的出现,让大家渐渐觉得,这样的构想不再是不可能。但是,ChatGPT爆火的背后,网络安全的环境也面临重大的挑战。本文从ChatGPT对社会的影响进行思考,延伸到网络安全领域,分析了不法分子对新技术的滥用,也阐述了新技术对网络安全防御领域可能做出的贡献。
1 ChatGPT对社会的影响
ChatGPT,英文全称为“Chat Generative Pre-trained Transformer”,是美国Open AI公司推出的文本问答型AI应用。该AI应用技术逻辑在于利用GPT3.5(instruct GPT)大规模预训练模型将大量数据存储、语言结构理解和语言结构表达相结合,以自然语言的方式生成复杂度高的应答文本。不过,ChatGPT的技术逻辑远远不止如此。其还结合了机器学习、神经网络以及Transformer模型等技术,最终形成的表现形式是通过扫描数据库或者网络中大量的内容,不断迭代模仿人类语言的回应模式,最后将结果以回答问题的形式呈现给用户。并且,这个不断迭代的过程已经经历了多年的实验室模型训练和改进,进而形成了在情感分析、信息收取、阅读理解等文本读取情景下具有突出优势的产品。这个应用产品的出现,体现了生成式人工智能的价值,也预示了图灵式人工智能路径的未来发展路径。
ChatGPT现在已经成为各行各业的兴趣话题,同时带起了一股“人工智能热”。有人认为,ChatGPT是一种人工智能中深度学习模型的强化,也有人提出观点表示ChatGPT的本质是生成式预训练转换器(Generative Pre-trained Transformer,GPT)的迭代成果。不管如何,基于Transformer架构的强大算力的语言模型,具有人工智能中深度学习的特质,ChatGPT的语言理解和生成水平能够非常好并且快速地回答用户问题,在教育、医疗、媒体、法律等行业都可以作为一个带来良好体验的“人机互动”辅助工具。
当前,已经有学者提出ChatGPT与产品营销行业应用场景相结合的理论方针。比如,张夏恒提出由ChatGPT代替当前人工客服或者脚本机器客服进行售后服务的应用模型,能够更加精准稳定高质量地服务客户,让客户的售后体验更加舒适。同时,他还提出将ChatGPT结合营销工作的各个环节并进行沉淀,能够提高工作的质量和服务的品质。ChatGPT结合教育教学,能够帮助学校更加个性化、针对化地制定学生的学习计划,提高学生的学习效率:ChatGPT结合医疗,则能够帮助医院更加精准化、个例化地制定病人的治疗方案,同时安抚病人的情绪,提高医院的医疗服务质量。ChatGPT的出现到火爆,表示人工智能科学应用的一个重大突破,这一科学领域从实验室迅速降临到每个人的身边,变成了“看得见,摸得着”的一种实际化技术。
2 ChatGPT对网络安全的威胁
如今,在人们享受网络社会的智能化、互联化等高质量服务的同时,网络安全问题也越来越暴露在大众的视野之中。近年来,越来越多的网络攻击者开始利用人工智能技术来打破传统网络攻击的能力边界。有学者研究表明,网络攻击者利用人工智能结合大数据分析,使可以利用的漏洞越来越多,也越来越细,让防御者防不胜防。通过这个研究可以预见的是,随着现在ChatGPT技术的普及化、大众化,网络攻击中人工智能攻击的技术成本可能会越来越低,未来可能会出现大规模的自主性和个体性的有效攻击。本文针对这一可能性,进行简要的分析。
所谓社会工程学,指的是基于社交网络、密码猜解和各种非网络技术手段的方式,来获取目标的关键信息,继而获得该目标的保密数据。社会工程学手段的攻击者往往会构建虚假的客服、网站、短信、电子邮件和电话等,利用组织内安全意识不强的用户将木马、病毒或者其他恶意程序植入其计算机,从而获得计算机的控制权或取得相关组织的机密信息。不法分子可以利用ChatGPT自带的社交问答属性来生成智能客服,产生让目标用户更加难以判断真假的交流信息,使得用户的防范意识降低进而落入陷阱。例如,可以让ChatGPT生成几份真假难辨的钓鱼邮件,如图1、图2所示。
这2封待发送的钓鱼邮件内容上毫无问题,不法分子只要稍加润色,即可达到以假乱真的地步。通过这2份邮件我们不禁需要思考,ChatGPT在给社会带来便利化的同时,确实也带来了一定程度上的网络安全威胁。
ChatGPT的出现,可能会将网络诈骗的方式进行升级。根据上文中社会工程学的原理,不法分子首先会利用ChatGPT技术来生成简单的诈骗脚本和诈骗短信、邮件等信息文本,再将这些文本进行大规模发送,使普通用户接收,最后骗取用户的金钱。当然,这只是可以预见的,如果我们假设ChatGPT以及其他人工智能的应用化程度变高、应用面变广,当人们将自己的金钱交给人工智能保管时,是否存在人工智能骗过人工智能的情况,从而实现对用户金额或者信息的盗取与欺骗。这个答案是肯定的,有学者提出当前法律之下,人工智能欺骗人工智能的行为并不构成诈骗[7]。这也从侧面证明了人工智能在网络诈骗中有这样的灰色地带。这一地带可能会滋生出其他的犯罪手法和犯罪方式,造成社会的不稳定。
所謂撞库攻击,是指黑客利用自动化工具(脚本)对目标数据库批量提交大量的用户名/密码组合,并且将成功的组合记录下来,从而登录数据库,为后续破坏行为做好准备。这个行为往往需要大量的时间来进行,并且脚本的构成也需要有一定的代码基础作为门槛。而ChatGPT则改变了这个现状,实验表明,利用ChatGPT可以轻易生成一个暴力破解程序的代
生成这个暴力破解程序的目的是撞库破解出目标数据库的可用密码。有了这一段代码之后,对黑客来说不必花大量的时间来构思脚本算法,而是能够将精力放在如何寻找目标之上,也因此会大大增加黑客的攻击频率。
另外,再次进行实验,这次实验的目的是能否用ChatGPT生成一个恶意脚本(软件)代码。答案也是肯定的,如图4所示。
如果將这段代码植入目标机器中,就可以将目标机器中的文件尽数上传到黑客所指定的服务器中,这将大幅提高黑客对计算机数据的获取效率。
这2个实验表明,ChatGPT确实可以轻易地生成一个暴力破解程序或者恶意代码,从而被“脚本小子”——技术不太高明的黑客所利用。这表明即使没有相关的专业网络安全技术,攻击者只要了解少许的计算机和网络知识,也可以进行快速高效的攻击。这就大幅降低了网络攻击者的技术门槛,使得未来的网络攻击频繁上升,也使网络安全防御压力增加。可以说,ChatGPT将网络攻击手段变得简单化,因此可能增加很多非专业攻击者的参与。随着可能增加的“脚本小子”,网络安全的防御责任可能会由相关部门或者安全公司进行防御延伸到由个人和用户进行防御,防御主体的范围将大幅扩大。
3 ChatGPT给网络防御带来的机遇
ChatGPT的出现不仅是对网络安全造成威胁,也存在不少有利之处。已经有企业利用ChatGPT的分析能力和强大的脚本开发能力,分析已经找到的日志中内涵的信息。在某安全公司的实验中,ChatGPT已经能做到dip(被攻击的目标地址)、dport(目标端口)、sip(攻击源地址)、category(安全类别划分)等信息以普通报告分析形式反馈给实验者。而且,ChatGPT也能对CVE-2020-4450常规漏洞进行分析。针对该漏洞,ChatGPT能够分析出其成因、影响范围、解决方法以及修复方法,并且为这些安全漏洞划定安全等级。这就让用户能够很快地了解漏洞的具体情况,无需白帽子参与。通过ChatGPT能够快速生成脚本程序的特点,高速生成实际可用的漏洞利用工具,能够帮助白帽子快速完成相当一部分的高质量代码的编写工作。这大幅降低了白帽子的工作时长,并且提高了工作的有效性。ChatGPT还具有一定的逆向分析能力,可以对一些加密的机器语言编码(ShellCode和BASE64)进行分析,识别未知威胁。另外,也有学者提出,利用人工智能的深度学习模型从事防御对抗攻击演练,能够提高防范未知网络威胁的成功率,将ChatGPT作为人类和计算机信息之间的沟通桥梁。不仅如此,企业还可以利用ChatGPT去订制渗透测试方案,改进网络安全计划。首先,ChatGPT是可以在经过训练的情况下,根据ISO27001或者HIPAA的特定标准来生成合规的策略模板,这就大幅节省了企业的时间和资源。其次,ChatGPT能够自动更新政策来响应法律法规或者行业标准的变化,保证了所有的信息安全政策和程序的一致性与标准化。最后,ChatGPT还能提出针对事件的有效的应急响应方案,也可以定制事件响应计划来满足企业的要求。可以试想,在未来,当用户作为一名白帽子漏扫人员,向ChatGPT发出指令即可完成基础的代码编写工作,用户在这些代码上稍作修改即可生成可用工具。在漏洞分析期间,用户还可以查看人工智能所生成的一份漏洞分析报告,只需要根据报告内容结合实际进行修改,不用担心报告模板出现问题,从而提高工作的效率。
4结束语
ChatGPT等类人交流AI的发展,必定会为人类社会带来更加舒适的体验。本文首先介绍了ChatGPT的技术要点和对社会的影响程度:其次说明了ChatGPT可能会加剧的网络安全问题,如社会工程学、网络诈骗、撞库暴力破解、恶意代码等,并归纳了其发展过程中可能存在的问题:最后列举了ChatGPT在网络安全环境中有利的一面,并肯定了当前ChatGPT针对漏洞扫描、发现未知威胁和制定安全方案等方向存在的发展可能性,为从事网络安全的从业者提供了未来畅想。
作者简介:
方橙蔚(1993—),硕士,研究方向:网络安全、游戏工程。