OpenAI通过ChatGPT向公众开放了其大型GPT-3语言模型。在线上与其进行对话的过程中你可以亲身感受它强大的语言输出功能,比如在解释复杂的科学概念时甚至比许多老师做的更好,同时还可以在语言之间"艺术地"翻译文本等。甚至网上已经开始流传 ChatGPT 将取代哪些岗位。
如果我们把 ChatGPT 剥离开进行分析,它的语言模型是在一个巨大的在线文本库上进行训练的,从中它能够“记住”哪些单词、句子和段落以及它们是如何相互关联的。在众多技术和额外的人类训练的帮助下,该模型专门针对对话功能进行了大量的优化。所以它几乎能够支持所有主题的对话,比如从时尚和艺术史到编程和量子物理学等。
ChatGPT 将如何改变网络安全mp.weixin.qq.com/s?__biz=MzIzNDE1MDE1MQ==&mid=2653468412&idx=1&sn=eb9cd937014a119bb97fd13d706bc9f0&chksm=f326d694c4515f822ef448bba6a17a93e1fe6e0a21048c5717989eb8513826da29e1bc88304b&token=1692608689&lang=zh_CN#rd对于此项技术的爱好者正在为 ChatGPT 找到越来越多的应用程序。Awesome ChatGPT 提示网站有一个提示列表(与机器人开始对话的短语),允许“切换”ChatGPT,以便它以各种人物风格做出响应,编写 Python 代码,生成商业信函和简历,甚至模仿 Linux 终端。尽管如此,ChatGPT 仍然只是一个语言模型,所以以上所有内容只不过是单词的常见组合和搭配——你不会在其中找到任何原因或逻辑。有时,ChatGPT 也会说出无效的废话。即使以目前的功能来看,该机器人在许多行业中也很有用。以下是网络安全领域的一些示例。
01 恶意软件创建
在某些论坛上,新手网络犯罪分子讲述他们如何使用 ChatGPT 创建新的木马。机器人能够编写代码,因此如果您简洁地描述所需的功能(“将所有密码保存在文件 X 中并通过 HTTP POST 发送到服务器 Y”),您可以获得一个简单的信息窃取程序,而无需任何编程技能。更重要的是,如果这些代码没有由经验丰富的程序员检查,恶意软件可能包含微妙的错误和逻辑缺陷,使其效率降低。
02 恶意软件分
当信息安全分析师研究新的可疑应用程序时,他们会对伪代码或机器代码进行逆向工程,试图弄清楚它是如何工作的。虽然这个任务不能完全分配给ChatGPT,但聊天机器人已经能够快速解释特定代码段的作用。
03 漏洞搜索
上述方法的变体是自动搜索易受攻击的代码。聊天机器人“读取”反编译应用程序的伪代码,并识别可能包含 漏洞的地方。此外,该机器人还提供专为漏洞 (PoC) 利用而设计的 Python 代码。当然,机器人在搜索漏洞和编写PoC代码时可能会犯各种错误,但即使以目前的形式,该工具对攻击者和防御者都有用
04 安全咨询
因为 ChatGPT 知道人们对在线网络安全的看法,所以它关于这个话题的建议看起来很有说服力。但是,机器人毕竟不是人类,因此每 10 个提问中可能有几个问题无法进行有效的回答。尽管如此,例如下面屏幕截图中的提示都是合理的。
05 网络钓鱼和BEC
大规模网络钓鱼电子邮件的主要问题是它们看起来过于虚假,ChatGPT将彻底改变这个问题,因为它允许攻击者以工业规模生成有说服力和个性化的电子邮件。但是,要使电子邮件包含所有必要的组件,必须向聊天机器人提供非常详细的说明。
主要的网络钓鱼攻击通常由一系列电子邮件组成,每封电子邮件都会逐渐获得更多受害者的信任。所以对于第二个、第三个和 n个电子邮件,ChatGPT将真正为网络犯罪分子节省大量时间。由于聊天机器人会记住对话的上下文,因此后续电子邮件可以从非常简短的提示中精美制作。
这个强大的功能就意味着网络钓鱼攻击的数量会逐渐增加。
那么如何更好的解决这个问题?内容分析专家正在积极开发检测聊天机器人文本的工具。时间会证明这些过滤器的有效性。但就目前而言,我们只能推荐两个标准提示(警惕和网络安全意识培训)
ChatGPT 将如何改变网络安全mp.weixin.qq.com/s?__biz=MzIzNDE1MDE1MQ==&mid=2653468412&idx=1&sn=eb9cd937014a119bb97fd13d706bc9f0&chksm=f326d694c4515f822ef448bba6a17a93e1fe6e0a21048c5717989eb8513826da29e1bc88304b&token=1692608689&lang=zh_CN#rd