ChatGPT 和网络安全：这意味着什么？

人工智能驱动的聊天机器人 ChatGPT 会帮助网络安全专业人员——还是阻碍他们——成为网络犯罪分子手中的潜在强大武器？

BlackBerry 威胁研究与情报副总裁 Ismael Valenzuela 说答案很可能是两者兼而有之。“公开可用的工具，比如这个最新的人工智能聊天机器人，总是由安全社区和安全研究人员进行测试，以了解如何利用它们。事实上，已经有很多与其使用相关的帖子和推文。网络威胁参与者也是如此。ChatGPT 等强大的工具太好了，不能不变成网络武器。ChatGPT 已经在进行这种类型的测试。”

无论好坏，该机器人都不容错过。它引起了主流媒体的注意，在五天内获得了超过一百万的用户，并定期出现在社交媒体上。埃隆·马斯克 (Elon Musk)也发了推文。“ChatGPT 好得吓人。我们离危险的强大人工智能不远了，”他写道。

OpenAI 表示其最新的人工智能机器人旨在以对话方式进行交互，这使得 ChatGPT 能够回答后续问题、承认错误、挑战不正确的前提等。

这让我们回到最初的问题：ChatGPT 对网络安全意味着什么？它会使权力的平衡向网络犯罪分子倾斜，还是向网络防御者和安全研究人员倾斜？

让我们看几个初步示例，了解 ChatGPT 如何在保护我们网络的斗争中发挥作用。

ChatGPT 和网络安全 Reddit

有时 Reddit 的讨论可能会让您陷入高科技的困境，但对于 Reddit 子论坛r/cybersecurity上关于 ChatGPT 的帖子，有一些关于业内人士如何试用该机器人的评论令人大开眼界。 

编写网络安全政策、报告——甚至脚本——可能不是每个人都喜欢做的事情，在这方面，Reddit 上的一些人建议 ChatGPT 可能会减轻压力。 

• “编写 RMF（风险管理框架）政策很不错。” （名称开发服务）

• “我用它来帮助编写渗透测试报告的补救技巧。它有一些很棒的技巧，可以节省谷歌搜索和头脑风暴的时间。” (SweatyIntroduction45)
  

• “如果它编写了一个基本的 PowerShell 脚本来保存前后的注册表副本。对基本的恶意软件分析很有用。我个人不得不弄乱它才能让它运行（脚本执行策略和所有，以及调整一些脚本让它运行）但它作为一个很酷的概念证明。” (quiznos61)
  

一些 Reddit 用户还报告了由于他们与 ChatGPT 的来回文本聊天导致代码无法正常工作的案例。在阅读评论时，很明显，您可能必须使用 ChatGPT 浏览自己的学习曲线，以最大限度地发挥它的作用。

尽管一些人对它的编码评价不高，但不少 Reddit 发帖人都担心，该机器人生成令人信服的文字的能力可能会使安全团队的工作比现在更加困难——尤其是在涉及网络钓鱼等恶意技术时。

“我让它写了一封网络钓鱼电子邮件。语法和语言正确，听起来自然。在大多数情况下，网络钓鱼电子邮件的语法和用词都很糟糕。这可能有助于改进诈骗者编写比我们过去更好、更有说服力的诈骗电子邮件。” (xon-xoff)

我们已经发现了更多关于这一事实的证据。

ChatGPT 和社会工程学测试

威胁研究员 Jonathan Todd 想知道 ChatGPT 是否可以加速社会工程的有效内容，这是网络威胁参与者用来愚弄人类和建立信任的关键策略。他使用该机器人（他将其称为 GPT3）创建代码来分析 Reddit 用户的帖子和评论并开发快速攻击配置文件。然后，他指示人工智能根据它对这个人的了解来编写网络钓鱼钩子——电子邮件或信息。

Reddit 上的其他人自愿成为他的小白鼠，看看会发生什么。

Todd 在他的 Reddit 帖子中记录了这项研究，标题为“使用 GPT-3 使无限规模的自动化、高保真网络钓鱼活动成为可能”。这是一个例子，涉及 Reddit 用户 Practical_bathroom53。

ChatGPT 创建的目标摘要：

Practical_bathroom53 似乎对网络安全最感兴趣，特别是与道德黑客、漏洞赏金猎人、SQL 注入和中间人 (MitM) 攻击相关的主题。此外，practical_bathroom53 有兴趣了解 OpenSSL 漏洞，目前正在学习 CompTIA Network+、Security+ 考试。Practical_bathroom53 还对冲浪和蘑菇孢子培养感兴趣。practical_bathroom53 似乎对这些主题很感兴趣，因为他们希望进一步了解信息技术和网络安全领域的知识和经验。

ChatGPT 根据 bot 自己的研究和目标总结创建的最佳网络钓鱼挂钩电子邮件：

“嘿，我真的对道德黑客和漏洞赏金猎人很感兴趣。这看起来是一种使用技术技能并赚取现金的绝妙方式。对像我这样的新手有什么建议吗？在设置开始漏洞赏金猎杀所需的基础设施方面有任何经验吗？”

Jonathan Todd 说这是该机器人生成的几个网络钓鱼钩子之一，也是他最喜欢的。这是整个机器人生成的系列：

查看 Todd 线程的其余部分，了解他测试的其他结果。

ChatGPT 和恶意软件

Check Point 的研究人员最近在暗网上发现了一个标题为“ChatGPT – 恶意软件的好处”的帖子，其中有人声称他们使用该机器人开发了基本的信息窃取程序代码。研究人员测试并证实了这一说法是正确的。这表明 ChatGPT 可以在创建恶意代码时为脚本小子和其他“新手”提供助力，因为他们需要的技术技能比他们在其他情况下可能需要的要少。

ChatGPT -4

OpenAI 终于推出了备受期待的 GPT 更新 GPT-4。Large Language Model (LLM) 附带了一些强大的新特性和功能，这些特性和功能已经让全球用户感到震惊。

除了明显优于 GPT-3.5 之外，为 OpenAI 的病毒聊天机器人 ChatGPT 提供支持的现有 LLM，GPT-4 可以理解更复杂的输入，具有更大的字符输入限制，具有多模式功能，据报道使用起来更安全。

GPT-4 最大的新功能之一是它能够理解更复杂、更细微的提示。根据OpenAI 的说法，GPT-4“在各种专业和学术基准上表现出人类水平的表现。”

这是通过在没有特定培训的情况下让 GPT-4 通过几项人类水平的考试和标准化测试（例如 SAT、BAR 和 GRE）来证明的。GTP-4 不仅全面理解并解决了这些测试，得分相对较高，而且每次都击败了其前身 GPT-3.5。