自OpenAI于11月底推出ChatGPT以來，各方的評論人士都在擔心人工智能驅動的內容創(chuàng)作將產(chǎn)生的深遠影響，尤其是在網(wǎng)絡安全領域。事實上，許多研究人員擔心生成式人工智能解決方案將使網(wǎng)絡犯罪大眾化。

雖然安全團隊也可以將ChatGPT用于防御目的，例如測試代碼，但其降低了網(wǎng)絡攻擊的進入壁壘/門檻，這無疑會進一步加劇威脅形勢的復雜程度。

網(wǎng)絡犯罪的“大眾化”

從網(wǎng)絡安全的角度來看，ChatGPT的誕生所帶來的主要挑戰(zhàn)是，任何人——無論其技術程度如何——都可以根據(jù)需要編寫代碼來生成惡意軟件和勒索軟件。

Tanium端點安全專家Matt Psencik表示，“正如ChatGPT可以用于幫助開發(fā)人員編寫代碼一樣，它也可以(并且已經(jīng))被用于惡意目的。我們已經(jīng)發(fā)現(xiàn)的幾個例子是，要求機器人創(chuàng)建令人信服的網(wǎng)絡釣魚電子郵件，或協(xié)助逆向工程代碼以找到可能被惡意使用的零日漏洞，而不是將它們報告給相關供應商。”

不過，Psencik指出，ChatGPT確實有內置防護機制，旨在防止該解決方案被用于犯罪活動。例如，它將拒絕創(chuàng)建shell代碼或提供關于如何創(chuàng)建shell代碼及逆向shell的具體說明，并標記惡意關鍵字，如網(wǎng)絡釣魚，以阻止請求。

但是，這些保護措施的問題在于，它們依賴于人工智能來識別用戶試圖編寫惡意代碼的企圖，就這一點而言，用戶可以通過重新措辭查詢來混淆識別。

如何使用ChatGPT創(chuàng)建勒索軟件和釣魚郵件

雖然ChatGPT發(fā)布時間不長，但安全研究人員已經(jīng)開始測試它生成惡意代碼的能力。例如，Picus Security的安全研究員和聯(lián)合創(chuàng)始人Suleyman Ozarslan博士最近不僅使用ChatGPT創(chuàng)建了網(wǎng)絡釣魚活動，還為MacOS創(chuàng)建了勒索軟件。

Ozarslan介紹稱，“我們從一個簡單的練習開始，看看ChatGPT是否能創(chuàng)建一個可信的網(wǎng)絡釣魚活動，結果證明確實如此。我輸入了一個提示，要求其寫一封世界杯主題的電子郵件，用于網(wǎng)絡釣魚模擬，結果它在短短幾秒鐘內就用完美的英文創(chuàng)建完成了一封。”

在這個例子中，Ozarslan聲稱自己是一家攻擊模擬公司的安全研究員，希望開發(fā)一個網(wǎng)絡釣魚攻擊模擬工具，便“說服”AI生成了一封網(wǎng)絡釣魚電子郵件。

雖然ChatGPT意識到“釣魚攻擊可以用于惡意目的，并可能對個人和企業(yè)造成傷害”，但它仍然生成了這封電子郵件。

完成初次嘗試后，Ozarslan又要求ChatGPT為Swift編寫代碼，Swift可以找到MacBook上的微軟Office文件，并通過HTTPS將其發(fā)送到網(wǎng)絡服務器，然后對MacBook上的Office文件進行加密。該解決方案的響應是生成示例代碼，而沒有提供任何警告或提示。

Ozarslan的研究實踐表明，網(wǎng)絡犯罪分子可以很輕松地繞過OpenAI的保護機制，要么把自身偽裝為研究人員，要么混淆他們的惡意意圖。

網(wǎng)絡犯罪的上升使天平失衡

雖然ChatGPT確實為安全團隊帶來了積極的好處，但通過降低網(wǎng)絡犯罪分子的進入門檻，它有可能加速(而非減少)威脅環(huán)境的復雜性。

例如，網(wǎng)絡犯罪分子可以利用人工智能來增加在野網(wǎng)絡釣魚威脅的數(shù)量，這不僅會進一步加劇安全團隊的負擔，而且只需成功一次就可能引發(fā)大規(guī)模數(shù)據(jù)泄露，造成數(shù)百萬美元的經(jīng)濟損失和無法挽回的聲譽損失。

電子郵件安全提供商IRONSCALES的研發(fā)副總裁Lomy Ovadia表示，“在網(wǎng)絡安全方面，ChatGPT可以為攻擊者提供比目標更多的東西。對于商業(yè)電子郵件妥協(xié)(BEC)來說尤為如此，因為這種攻擊依賴于使用欺騙性內容來冒充同事、公司VIP、供應商甚至客戶。”

Ovadia認為，如果CISO和安全領導者依靠基于策略的安全工具來檢測AI/GPT-3生成內容的釣魚攻擊，那么他們將注定失敗，因為這些AI模型使用先進的自然語言處理(NLP)來生成幾乎不可能與真實例子區(qū)分開來的詐騙電子郵件。

例如，今年早些時候，新加坡政府技術機構的安全研究人員創(chuàng)建了200份釣魚郵件，并將其點擊率與深度學習模型GPT-3創(chuàng)建的郵件進行了比較，結果發(fā)現(xiàn)更多的用戶點擊了人工智能生成的釣魚郵件，而非人類用戶生成的郵件。

好消息是什么?

雖然生成式AI確實給安全團隊帶來了新的威脅，但它也提供了一些積極的用例。例如，分析人員可以使用該工具在部署前審查有漏洞的開源代碼。

HackerOne公司解決方案架構師Dane Sherrets表示，“今天，我們看到很多道德黑客正在使用現(xiàn)有的人工智能技術來幫助編寫漏洞報告，生成代碼樣本，并識別大型數(shù)據(jù)集的趨勢。這一切都表明，今天人工智能最好的應用是幫助人類做更多造福人類的事情。”

然而，試圖利用生成式人工智能解決方案(如ChatGPT)的安全團隊仍然需要確保充分的人力監(jiān)督，以避免潛在的問題。

Sherrets補充道，“ChatGPT所代表的進步令人興奮，但技術還沒有發(fā)展到完全自主運行的程度。要讓人工智能發(fā)揮積極作用，還需要人力監(jiān)督以及進行一些手動配置，不能總是依靠絕對最新的數(shù)據(jù)和情報來運行和訓練。”

正是出于這個原因，F(xiàn)orrester建議實現(xiàn)生成式人工智能的企業(yè)應該部署工作流和治理，來管理人工智能生成的內容和軟件，以確保其準確性，并降低發(fā)布具有安全性或性能問題的解決方案的可能性。

不可避免的是，生成式AI和ChatGPT的真正風險將取決于安全團隊或威脅行為者是否在AI攻防大戰(zhàn)中更有效地利用自動化。