從攻擊視角探討ChatGPT對網絡安全的影響
專家介紹
ChatGPT是OpenAI 發布的基于人工智能的對話機器人,上線短短2個月活躍用戶就突破了1億,成為全球關注的焦點。ChatGPT可以自動化地處理對話,可以通過基于自然語言處理技術的模型、情景模型和語言模型來自動生成文章,甚至可以按照用戶的要求編寫代碼。那么ChatGPT會對網絡安全行業帶來哪些影響呢?接下來我們將通過系列文章,分別從“攻”、“防”、ChatGPT的不足以及安全領域的應用建議等方面來分析ChatGPT在網絡安全領域的作用。
本篇將從“攻”的視角
看看ChatGPT制作網絡攻擊工具的能力
讓ChatGPT生成釣魚郵件
能力指數:★★★★☆
我們讓ChatGPT來生成一封以“疫情防護”為主題的中文釣魚郵件。
ChatGPT采用“以假亂真”的策略,以防患釣魚郵件的主題來誘惑用戶點擊釣魚鏈接,這種誘導性的話術令人咋舌。
結論
ChatGPT可以說是一名釣魚郵件專家,綜合評價:★★★★。它具有自然語言理解和自我訓練的能力,可以從網絡或現實世界學習文本,并生成許多不同類型的釣魚郵件,誘導用戶點擊。
讓ChatGPT生成惡意代碼,
能力指數:★★★☆☆
第一步,小試牛刀:“兩數之和”編程
ChatGPT生成代碼的前提是對于代碼實現功能的深刻理解,為了驗證ChatGPT的編程能力,我在LeetCode上選擇了一個two sum的經典雙指針編程題目,觀察它的實現情況。
提交后可以看到它的代碼完全正確,并擊敗了96.7%的用戶。
我懷疑ChatGPT這個老六“不講武德”,抄襲了某個GitHub的答案。因為它給出的函數名居然和LeetCode的一模一樣。
第二步,高難度算法編程挑戰
為了進一步驗證,我又找了一個無法輕易找到源碼的背包類動態規劃算法編程題。
經過分析發現,ChatGPT給出的動態規劃代碼有一處錯誤,那就是:dp[i][j] = max(dp[i-1][j],dp[i-1][j-A[i-1]] + V[i-1])應改為dp[i][j] = max(dp[i-1][j],dp[i][j-A[i-1]] + V[i-1]),只需要稍微改動,即可實現正常運行。盡管有一點小小的瑕疵,但是ChatGPT已經做到了很不錯的水平!
第三步,讓ChatGPT生成惡意代碼
1.首先,讓ChatGPT生成PHP一句話木馬。
這個一句話木馬很熟悉吧,它完全可以正常工作。
2.我們繼續讓它生成一些高階的包含base64_decode函數的WebShell。
是不是有種被拿捏的感覺!!!我們再讓其生成各種變形WebShell,ChatGPT仍能輕松應對。
3.眾所周知,檢測加密WebShell是WebShell檢測的一大挑戰,我們嘗試讓其生成基于PHP編寫的加密WebShell。
ChatGPT提供的后門代碼,只要更改秘鑰$key即可使用。ChatGPT能夠一鍵生成常見網絡攻擊腳本,這讓我們網絡防御工作者既驚嘆不已,又深感憂慮,因為它大大降低了網絡攻擊的門檻。
第四步,讓ChatGPT生成勒索軟件
可以看到,上面的代碼完全能夠正常運行。為了能夠實現免殺,我們試著問ChatGPT:
它的回答非常全面,令人印象深刻。但對復雜的編譯語言惡意樣本,尤其對于隱蔽性、高對抗性、反調試性等高級要求,則ChatGPT能力相對不足,只能給出相關知識。
結論
ChatGPT惡意代碼生成能力尤其是腳本能力突出,但高階的對抗型樣本生成略顯不足,綜合評分:★★★。
那么是什么原因讓ChatGPT的代碼生成能力如此突出呢?
1.ChatGPT的代碼生成原理:ChatGPT通過利用大量的代碼和文本混合數據進行訓練,來達到創造出新的有效代碼以及惡意代碼的能力。其中,所訓練的數據包括CSDN、Stack Over Flow、GitHub等網站收集的數據。
2.ChatGPT準確理解用戶的對話意圖原理:ChatGPT是基于Transformer模型的語言模型,核心算法是基于雙向語言模型(BiLM)和注意力機制(Attention)的Transformer模型。Transformer模型可以產生語義上更準確的響應,而注意力機制可以更加準確地理解用戶輸入,從而更好地回應用戶問題。
利用ChatGPT輔助測試和開發
水能覆舟,亦能載舟。對于滲透測試人員和BAS類安全產品開發人員,ChatGPT可以幫助生成單元測試代碼或滲透測試的腳本,省掉不少苦力活。例如:
結語
ChatGPT的出現,使得網絡安全攻擊變得更容易,這給企業帶來了極大的風險。ChatGPT利用黑客的知識和技術,通過釣魚郵件和惡意代碼生成等手段來降低攻擊成本,使黑客可以更容易地攻擊企業的網絡。在網絡安全的攻防對抗模式下,以智能對抗智能是未來發展的方向。
下期預告
請期待下期,我們將從防御者的視角,深入探討如何通過ChatGPT提升網絡安全防御能力。
關注“數據通信視頻號”了解更多資訊~點擊“閱讀原文”,了解更多華為數據通信資訊!
原文標題:從攻擊視角探討ChatGPT對網絡安全的影響
文章出處:【微信公眾號:華為數據通信】歡迎添加關注!文章轉載請注明出處。
-
華為
+關注
關注
216文章
34690瀏覽量
253803
原文標題:從攻擊視角探討ChatGPT對網絡安全的影響
文章出處:【微信號:Huawei_Fixed,微信公眾號:華為數據通信】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
Lansweeper:強化網絡安全與資產管理
探索國產網絡安全整機,共筑5G時代網絡安全防護線
DeepSeek?遭受?DDoS?攻擊敲響警鐘,企業如何筑起網絡安全防線?
華納云企業建立全面的網絡安全策略的流程
龍芯3A5000網絡安全整機,助力保護網絡信息安全
戴爾科技筑牢企業數據網絡安全防線
用國產化硬件守護信息安全,飛騰D2000網絡安全主板應用優勢
純凈IP:守護網絡安全的重要道防線
國產網絡安全主板在防御網絡攻擊中的實際應用
人工智能大模型在工業網絡安全領域的應用
工業控制系統面臨的網絡安全威脅有哪些
專家解讀 | NIST網絡安全框架(1):框架概覽
工商網監
評論