浅谈ChatGPT对网络安全的影响

ChatGPT风靡全球

2022年11月， OpenAI的ChatGPT 语言生成 AI 模型免费提供，风靡互联网，业界普遍认为2023年将成为AI智能生成大年。ChatGPT利用自然语言处理（NLP）来分析人工输入并产生输出，模仿人类的自然对话。它可以写任何东西--信件、插图、歌词、研究论文、食谱、诗歌、论文、甚至软件代码。

AI 也能帮助 IT 和安全团队提高效率，与此同时，业界对与ChatGPT相关的网络威胁越来越关注。网络犯罪分子可以通过多种手段将ChatGPT作为武器。

为了进一步了解ChatGPT和其相关的网络威胁，在这次Help Net Security 的采访中， Ivanti首席安全官Daniel Spicer谈到了这项技术对网络安全的影响。

一、人工智能在网络安全中值得关注的原因

生成式人工智能（如 ChatGPT ）可以快速满足潜在网络犯罪份子的需求，譬如在制作网络钓鱼电子邮件时非常有用。这就是为什么生成 AI 的用例对威胁者极具吸引力。威胁者对 AI输出的需求往往与社会工程学有关，ChatGPT 可以轻松创建大量复杂的网络钓鱼电子邮件，包括极其逼真的Profile，拥有令人信服的个人资料，甚至包括个人资料照片, 我们已经开始看到这方面的影响。

同时，威胁者已经开始使用 ChatGPT 开发恶意软件。虽然 ChatGPT 的代码编写能力的质量目前好坏参半，但专门用于代码开发的生成 AI 可以加速恶意软件的开发。并且，我们将看到它有助于更快地利用漏洞——在漏洞披露后的数小时内而不是几天内。

另一方面，人工智能有可能帮助 IT 和安全团队变得更加高效和有效，从而实现自动化和/或半自动化漏洞检测和修复以及基于风险的优先级排序。这使得能够分析数据的 AI 对于面临资源限制的 IT 和安全团队来说非常有前途，但不幸的是，这种类型的工具尚不存在，即使存在，实施起来也可能很复杂。

现在需要将注意力转向能够帮助防御者分析和解释大量数据的人工智能。但是，在我们看到 AI 工具的巨大改进之前，攻击者将继续占有优势，因为今天的工具已经可以满足他们的许多需求。

二、ChatGPT的安全机制如何？

一句话，没有。到目前为止，ChatGPT 进行的安全检查是无效的。例如，研究人员发现，您向 ChatGPT 提问的方式会显著改变其响应，包括其拒绝恶意请求的有效性。根据您为生成式 AI 工具提供的命令，可以将恶意软件攻击的所有步骤拼凑起来。这种情况的一个积极因素是 ChatGPT 目前没有编写好的代码——但这种情况会改变。

生成式人工智能将继续降低网络钓鱼攻击的门槛——未来的版本将可能轻松开发恶意软件。

这将改变恶意软件开发人员和 AV/EDR 供应商之间的军备竞赛，因为以代码为中心的 AI 可以比传统的软件开发更显着地改变开发流程和生命周期。威胁者能够在他们的攻击武器库中开始使用生成 AI ，现在我们需要关注我们将如何防御这种新威胁。

生成式人工智能将继续降低网络钓鱼攻击的门槛——未来的版本将可能轻松开发恶意软件。

三、滥用 ChatGPT的安全风险

可以肯定地说， ChatGPT 将大大降低网络攻击的成本。目前，威胁的复杂程度或多或少与威胁行为者的知识水平有关，但 ChatGPT 已将恶意攻击降低到一个新手威胁者就能参与的门槛。

这点最令人担忧，因为它不仅扩大了潜在威胁的数量和潜在威胁攻击性的数量，而且还使那些几乎不知道自己在做什么的人更容易的参与攻击，在网络安全领域，这将是前所未有的巨大挑战，让我们继续保持关注它今后的迭代和改进。

四、 ChatGPT使得网络攻防AI化

网络安全世界已经面临着大量代码漏洞的挑战。人工智能将把这些数字推向更高，因为它可以更快、更智能地发现漏洞。结合人工智能编码器，我们可以在几分钟内看到新发现的漏洞被武器化。

人工智能目前还没有变得更好或更快，但我们希望这种情况会发生。总有一天，我们会看到漏洞检测、漏洞武器化和有效负载都由 AI 完成，无需人工干预。

同样，人工智能让技术知识有限的人能够更快、更容易地产生大量逼真的网络钓鱼攻击和虚假个人资料。随着威胁行为者对 AI 越来越熟悉，我们将看到随着威胁者之间相互竞争以获得知名度，其复杂性也会增加。

未来，我们将拥有能够完成整个攻击链的 AI——从起草网络钓鱼电子邮件开始。人工智能将能够使用现成的工具来确定目标环境并快速确定勒索软件进入组织的最佳路径，它将能够自动确定目标网络、布局和架构，然后操纵AI工具链开启攻击，并且避免被防御者检测到。

原标题：《观点 | 浅谈ChatGPT对网络安全的影响》

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。