隨著近日大型語言模型 (LLM) ChatGPT的流行，許多網絡安全工作者也開始實驗它在抵御安全威脅方面的能力。目前已有多項實驗表明，ChatGPT不僅能夠對潛在的安全事件進行分類，還能從中發現代碼的安全漏洞，即便它沒有專門針對此類活動進行訓練。

2月15日，卡巴斯基在一項實驗中，將ChatGPT 作為事件響應工具的實用程序進行分析。他們模仿一般攻擊者使用 Meterpreter 和 PowerShell Empire 代理感染了一個系統，用 ChatGPT 對受感染的進程進行識別。結果顯示，ChatGPT在沒有誤報的情況下正確排除了137 個良性進程，識別出了2個惡意進程，并且還供了該服務應被歸類為陷落標識（indicator of compromise）的原因結論。

最終，卡巴斯基分析師使用 ChatGPT 分析了測試系統上 3500 多個事件的元數據，發現了 74 個潛在的危害指標，其中 17 個是誤報。該實驗表明，ChatGPT 可用于為未運行端點檢測和響應 (EDR) 系統、檢測代碼混淆或逆向工程代碼二進制文件的公司收集取證信息。

這項實驗是從向 ChatGPT 詢問 Mimikatz 和 Fast Reverse Proxy 等幾種黑客工具開始的。人工智能模型成功地描述了這些工具，但當被要求識別眾所周知的哈希值和域時卻失敗了，例如， ChatGPT無法識別惡意軟件WannaCry眾所周知的哈希值。

但顯而易見，卡巴斯基在識別主機上的惡意代碼方面則較為成功，他們要求 ChatGPT 創建一個 PowerShell 腳本，以從系統中收集元數據和危害指標并提交。在手動改進代碼后，安全人員在受感染的測試系統上使用了該腳本。

在此之前，其他安全公司也在研究如何通過此類模型來執行特定的防御相關任務。去年12月，數字取證公司Cado Security使用ChatGPT創建了一個事件中的JSON數據的妥協時間表，生成了一份“不完全準確但總體良好”的報告。

結果是否可用？

由此看出，ChatGPT得出的結果到底是否可用？安全咨詢公司NCC集團嘗試用ChatGPT作為尋找代碼中的漏洞的方法，得到了“不總是準確”的結果。NCC集團首席科學家 Chris Anley 表示，安全分析師、開發人員和逆向工程師在使用如ChatGPT的大型語言模型時要小心行事，尤其是對于超出其能力范圍的任務。

“我贊同專業開發人員和其他使用代碼的人去探索 ChatGPT 和類似模型，但更多的是為了獲得靈感，而不是為了獲得絕對正確、真實的結果，“Chris Anley說道?！庇肅hatGPT進行安全代碼審查不是我們的最佳選擇，所以期望它第一次就做到完美是有點不公平。"

卡巴斯基事件響應團隊負責人 Victor Sergeev也警告稱，結果不準確是一個非?，F實的問題，要注意這些這可能產生的誤報和漏報，并稱目前的ChatGPT”也只是另一個容易產生意外結果的統計神經網絡“。

有待完善的隱私規則

目前，已經有公司開始對使用互聯網上的信息創建數據集提出異議，NCC Group 的 Anley 表示，安全專家必須確定提交的入侵指標是否暴露了敏感數據，或者提交軟件代碼進行分析是否侵犯了公司的知識產權?！跋駽hatGPT提交代碼是否是個好主意，很大程度上取決于具體情況。"很多代碼是專有的，受到各種法律保護，所以我不建議人們提交代碼給第三方，除非他們得到許可?！?Anley說道。

Sergeev也發出了類似的警告。使用ChatGPT檢測漏洞，必然會向系統發送敏感數據，這可能違反了公司政策，并可能帶來商業風險。