Chatting火爆全球以來(lái),,人們驚訝地發(fā)現(xiàn)這個(gè)AI聊天機(jī)器人不僅能輕松與人類對(duì)話,甚至可以編寫代碼,。
在論壇上,程序員們貼出了一條條令人瞠目結(jié)舌的代碼生成示例,。從串接云服務(wù)到將Python代碼移植為Rust,,ChatGPT在某些基礎(chǔ)編程任務(wù)上已經(jīng)表現(xiàn)出非凡的能力。這使得人們開始擔(dān)心ChatGPT會(huì)淪為黑客攻擊的幫手,。
那么ChatGPT的到來(lái),,究竟將如何影響網(wǎng)絡(luò)安全領(lǐng)域?ChatGPT是否會(huì)被黑客直接利用,?它可以被應(yīng)用在哪些網(wǎng)絡(luò)安全領(lǐng)域,?又是否會(huì)成為未來(lái)網(wǎng)絡(luò)安全技術(shù)的發(fā)展方向?
面對(duì)ChatGPT帶來(lái)的諸多疑問(wèn),,瑞數(shù)信息專家分享了自己的觀點(diǎn),。
ChatGPT網(wǎng)絡(luò)安全應(yīng)用現(xiàn)狀
ChatGPT作為一款由AI技術(shù)驅(qū)動(dòng)的自然語(yǔ)言處理工具,可以實(shí)現(xiàn)像人類一樣聊天交流,。對(duì)于“是否會(huì)構(gòu)成網(wǎng)絡(luò)安全威脅”這一話題,,ChatGPT顯然也有自己的看法:
“不,ChatGPT不會(huì)構(gòu)成網(wǎng)絡(luò)安全威脅,。它是由OpenAI開發(fā)的一種語(yǔ)言模型,,旨在根據(jù)接收到的輸入生成文本。然而,,重要的是要記住,,任何技術(shù)都可能被濫用,用戶有責(zé)任保護(hù)他們的系統(tǒng)和數(shù)據(jù),。此外,,在分享敏感信息時(shí)要謹(jǐn)慎行事,因?yàn)榈谌娇赡軙?huì)獲取這些信息,?!?/p>
同時(shí),ChatGPT也補(bǔ)充道:“如果它落入壞人之手,,可能會(huì)被惡意利用”,、“ChatGPT可能被用來(lái)從互聯(lián)網(wǎng)上抓取敏感信息,例如個(gè)人數(shù)據(jù)或財(cái)務(wù)信息,?!?/p>
換句話說(shuō),,ChatGPT到底有沒(méi)有威脅,最終還是取決于使用者的目的,。
對(duì)此,,瑞數(shù)信息專家表示,和任何技術(shù)一樣,,ChatGPT一旦被居心叵測(cè)之人利用,,同樣會(huì)成為做壞事的工具。例如,,利用ChatGPT生成釣魚郵件或惡意代碼,,或利用ChatGPT尋找代碼中的漏洞。
圖:詢問(wèn)ChatGPT如何生成釣魚郵件后的自動(dòng)回復(fù)
“對(duì)于初級(jí)黑客來(lái)說(shuō),,ChatGPT的確可以提升攻擊水平,,尤其是ChatGPT大幅提升了獲取信息和加以應(yīng)用的效率,降低了攻擊門檻,;但對(duì)于高級(jí)黑客,,要提升攻擊水平,更多需要自身的專研與積累,,ChatGPT只能起到輔助的作用”,,瑞數(shù)信息專家表示。
當(dāng)然,,ChatGPT作為一把技術(shù)“雙刃劍”,,同樣可以被應(yīng)用于網(wǎng)絡(luò)安全防護(hù)領(lǐng)域。對(duì)此,,ChatGPT也提供了15種可能的應(yīng)用方向:
自動(dòng)化威脅情報(bào)分析:使用ChatGPT進(jìn)行自然語(yǔ)言處理和情感分析,,自動(dòng)化威脅情報(bào)的分析和識(shí)別。
惡意代碼檢測(cè):使用ChatGPT進(jìn)行文本分析和分類,,對(duì)惡意代碼進(jìn)行自動(dòng)化檢測(cè)和分析,。
網(wǎng)絡(luò)安全事件響應(yīng):使用ChatGPT對(duì)網(wǎng)絡(luò)安全事件進(jìn)行自然語(yǔ)言處理和語(yǔ)義分析,快速響應(yīng)和解決網(wǎng)絡(luò)安全事件,。
基于機(jī)器學(xué)習(xí)的入侵檢測(cè):使用ChatGPT進(jìn)行機(jī)器學(xué)習(xí)模型的訓(xùn)練和預(yù)測(cè),,實(shí)現(xiàn)基于機(jī)器學(xué)習(xí)的入侵檢測(cè)。
情報(bào)收集和分析:使用ChatGPT對(duì)網(wǎng)絡(luò)情報(bào)進(jìn)行自動(dòng)化收集和分析,,為網(wǎng)絡(luò)安全決策提供支持,。
自動(dòng)化漏洞檢測(cè):使用ChatGPT進(jìn)行自然語(yǔ)言處理和語(yǔ)義分析,自動(dòng)化發(fā)現(xiàn)和檢測(cè)系統(tǒng)和應(yīng)用程序中的漏洞,。
智能安全咨詢:使用ChatGPT進(jìn)行自然語(yǔ)言處理和智能問(wèn)答,,為用戶提供實(shí)時(shí)的安全咨詢和建議。
身份驗(yàn)證和授權(quán)管理:使用ChatGPT對(duì)用戶的身份進(jìn)行自動(dòng)化驗(yàn)證和授權(quán)管理,,保護(hù)系統(tǒng)和數(shù)據(jù)的安全,。
智能風(fēng)險(xiǎn)評(píng)估:使用ChatGPT進(jìn)行自然語(yǔ)言處理和數(shù)據(jù)分析,,為企業(yè)和組織提供智能的風(fēng)險(xiǎn)評(píng)估和管理服務(wù)。
自動(dòng)化安全測(cè)試:使用ChatGPT進(jìn)行自然語(yǔ)言處理和語(yǔ)義分析,,自動(dòng)化測(cè)試和評(píng)估系統(tǒng)和應(yīng)用程序的安全性能,。
自動(dòng)化安全審計(jì):使用ChatGPT進(jìn)行自然語(yǔ)言處理和數(shù)據(jù)分析,自動(dòng)化進(jìn)行系統(tǒng)和應(yīng)用程序的安全審計(jì)和評(píng)估,。
安全事件預(yù)測(cè)和預(yù)警:使用ChatGPT進(jìn)行自然語(yǔ)言處理和機(jī)器學(xué)習(xí),,對(duì)網(wǎng)絡(luò)安全事件進(jìn)行預(yù)測(cè)和預(yù)警。
人工智能防火墻:使用ChatGPT進(jìn)行自然語(yǔ)言處理和機(jī)器學(xué)習(xí),,開發(fā)智能的防火墻系統(tǒng),,實(shí)現(xiàn)自動(dòng)化的威脅防御和安全保護(hù)。
智能數(shù)據(jù)分類和保護(hù):使用ChatGPT進(jìn)行自然語(yǔ)言處理和文本分析,,對(duì)敏感數(shù)據(jù)進(jìn)行自動(dòng)化分類和保護(hù)。
智能加密和解密:使用ChatGPT進(jìn)行自然語(yǔ)言處理和加密算法,,實(shí)現(xiàn)智能加密和解密服務(wù),,保護(hù)數(shù)據(jù)的機(jī)密性和完整性
瑞數(shù)信息專家表示,以上這些場(chǎng)景在技術(shù)上都是有可能實(shí)現(xiàn)的,,但是通過(guò)ChatGPT對(duì)話直接生成的代碼或建議,,不做任何修改和測(cè)試,是無(wú)法直接應(yīng)用在生產(chǎn)環(huán)境中的,。如果要用到真實(shí)生產(chǎn)環(huán)境中,,還是需要針對(duì)安全領(lǐng)域做更精準(zhǔn)的訓(xùn)練,才能更有效的應(yīng)用這類AI新技術(shù),。
利用AI技術(shù)的安全攻防態(tài)勢(shì)
ChatGPT的爆火將AI技術(shù)從幕后推到了臺(tái)前,,但實(shí)際上網(wǎng)絡(luò)安全領(lǐng)域?qū)τ贏I的研究早已開啟。
在2017年美國(guó)黑帽子大會(huì)上,,數(shù)百名網(wǎng)絡(luò)安全專家投票預(yù)測(cè),,未來(lái)幾年黑客是否會(huì)利用AI技術(shù)從事犯罪活動(dòng),有62%人表示肯定,。
由于AI自動(dòng)化和智能化的能力,,讓黑客可以加速攻擊速度,在同等時(shí)間內(nèi)攻擊盡可能多的目標(biāo)用戶,,同時(shí)降低自身的風(fēng)險(xiǎn),,因此近年來(lái)利用AI技術(shù)實(shí)施網(wǎng)絡(luò)攻擊的事件快速增長(zhǎng)。
“黑客其實(shí)早已大量利用AI技術(shù)和云服務(wù)來(lái)構(gòu)建黑色產(chǎn)業(yè)鏈”,,瑞數(shù)信息專家表示,,“比如黑客會(huì)利用AI技術(shù)識(shí)別驗(yàn)證碼或模擬人的操作行為,繞過(guò)網(wǎng)站的安全防護(hù)”,。
例如,,在一些網(wǎng)站的登錄驗(yàn)證中,,無(wú)論是滑動(dòng)按鈕還是填寫驗(yàn)證碼,黑客都可以利用AI模仿真人操作,,順利通過(guò)驗(yàn)證,。
“據(jù)我們觀察,AI繞過(guò)的準(zhǔn)確率甚至可以高達(dá)100%,。識(shí)別率越高,,黑產(chǎn)的收費(fèi)也越高,所以黑客會(huì)不遺余力地去提升AI攻擊的準(zhǔn)確率和效率”,,瑞數(shù)信息專家表示,。
盡管黑客已經(jīng)開始把AI當(dāng)做武器來(lái)使用了,但安全廠商也同樣在快速跟進(jìn)AI的發(fā)展,。
以瑞數(shù)信息為例,,早在2017年就開啟了AI技術(shù)在安全領(lǐng)域的研究。隨著網(wǎng)絡(luò)攻擊手段,、方法的更新變化越來(lái)越快,,攻擊特征越來(lái)越隱蔽,瑞數(shù)信息在獨(dú)創(chuàng)的“動(dòng)態(tài)安全”技術(shù)基礎(chǔ)上加入AI技術(shù),,顛覆了傳統(tǒng)安全基于特征和規(guī)則的方式防護(hù)的思路,,引領(lǐng)著安全防護(hù)由靜態(tài)走向動(dòng)態(tài)、由被動(dòng)走向主動(dòng),。
基于瑞數(shù)信息“動(dòng)態(tài)安全+AI”技術(shù),,企業(yè)可以筑起多道安全防線:
第一道防線,通過(guò)動(dòng)態(tài)安全技術(shù),,靈活運(yùn)用Web代碼混淆,、JS混淆、前端反調(diào)試,、Cookie混淆,、中間人檢測(cè)等多種動(dòng)態(tài)干擾功能,對(duì)攻擊者實(shí)施動(dòng)態(tài)干擾,;
第二道防線,,通過(guò)疊加AI技術(shù),對(duì)模擬真人等高度隱蔽性的異常訪問(wèn)行為進(jìn)行實(shí)時(shí)分析,,實(shí)現(xiàn)更加精準(zhǔn)的人機(jī)識(shí)別,,識(shí)別各類已知與未知的攻擊。
基于這兩大瑞數(shù)創(chuàng)新技術(shù),,企業(yè)能夠在Bots自動(dòng)化攻擊,、0day攻擊、DDoS攻擊、API攻擊等多重攻擊場(chǎng)景中實(shí)現(xiàn)一體化防御,。
近年來(lái),,瑞數(shù)信息在AI技術(shù)研發(fā)上仍在不斷精進(jìn),主要包括三個(gè)方向:
惡意內(nèi)容識(shí)別,,包含SQL注入,、XSS及Webshell等;
攻擊行為檢測(cè),,包含自動(dòng)化威脅識(shí)別,、協(xié)同攻擊檢測(cè)與用戶異常行為分析等;
勒索加密檢測(cè),,包含對(duì)文件系統(tǒng)與數(shù)據(jù)庫(kù)的勒索加密檢測(cè),。
2022年初,在工信部,、網(wǎng)信辦及公安部等單位主辦的“第三屆中國(guó)人工智能大賽”中,,瑞數(shù)信息在Webshell檢測(cè)識(shí)別方向的比賽中以最高分榮獲A級(jí)證書,足見其雄厚的AI實(shí)力,。
AI或成網(wǎng)絡(luò)安全的未來(lái)
毫無(wú)疑問(wèn),,AI已經(jīng)成為網(wǎng)絡(luò)攻防戰(zhàn)的新一代武器,任何一方都沒(méi)有選擇的余地,,必須拿起AI來(lái)武裝自己,。隨著ChatGPT的普及,,AI技術(shù)會(huì)加速網(wǎng)絡(luò)安全領(lǐng)域的變革嗎,?
瑞數(shù)信息專家認(rèn)為,短期內(nèi)還是AI與現(xiàn)有安全技術(shù)共存的態(tài)勢(shì),,但是長(zhǎng)期來(lái)看,,AI極有可能對(duì)現(xiàn)有的安全技術(shù)形成顛覆,讓安全廠商的競(jìng)爭(zhēng)態(tài)勢(shì)重新洗牌,。
“目前各家安全廠商都還在AI訓(xùn)練與調(diào)優(yōu)模型的階段,,市場(chǎng)上還是以大量的傳統(tǒng)安全技術(shù)為主。隨著算力提高,、數(shù)據(jù)量變大,、成本降低,AI技術(shù)會(huì)有一個(gè)量變到質(zhì)變的過(guò)程,,到那時(shí)候AI會(huì)替代傳統(tǒng)安全技術(shù),,替代人力工作”,瑞數(shù)專家表示,。
在他看來(lái),,ChatGPT的出現(xiàn),讓業(yè)界看到了GPT這類大模型的巨大潛力,,其優(yōu)勢(shì)不容小覷:
第一,,有了這類AI技術(shù)的加入,,網(wǎng)絡(luò)安全防護(hù)可能變得更智能、反應(yīng)更快,,可以防護(hù)以前注意不到或防不住的攻擊行為,,同時(shí)也可以通過(guò)AIGC(生成式AI)技術(shù)自動(dòng)生成防護(hù)規(guī)則,大幅縮短攻擊響應(yīng)時(shí)間,。
第二,,AI作為自動(dòng)化機(jī)器是可以全天候運(yùn)行工作的,不會(huì)產(chǎn)生人力疲勞等問(wèn)題,,從而減輕安全運(yùn)營(yíng)人員壓力,。
第三,基于出色的自然語(yǔ)言處理,,AI可以通過(guò)對(duì)話而不是SQL語(yǔ)句的方式,,來(lái)運(yùn)行安全產(chǎn)品相關(guān)功能,并自動(dòng)生成報(bào)表,,從而大幅降低安全產(chǎn)品使用門檻,,讓非安全專業(yè)人員也能夠輕松使用。未來(lái),,安全產(chǎn)品里也可能會(huì)集成類似ChatGPT的AI聊天機(jī)器人,,協(xié)助安全管理人員分析威脅態(tài)勢(shì)并給出可能的處置建議。
正因如此,,瑞數(shù)信息專家認(rèn)為,,ChatGPT底層的GPT模型或其他類似的模型,會(huì)被廣泛應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域,。
但值得注意的是,,ChatGPT并不適合作為AI基礎(chǔ)模型直接應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行精調(diào)。瑞數(shù)專家指出,,一方面是因?yàn)镃hatGPT超大規(guī)模模型導(dǎo)致訓(xùn)練和運(yùn)營(yíng)成本高昂,,即便作為API開放服務(wù)也沒(méi)有多少企業(yè)能夠承受;另一方面,,安全領(lǐng)域有數(shù)據(jù)敏感,、安全保密等特殊性,企業(yè)不太可能基于ChatGPT提供安全類數(shù)據(jù)去訓(xùn)練模型,。
因此,,對(duì)于網(wǎng)絡(luò)安全行業(yè)應(yīng)該有專屬的SecurityGPT,可基于GPT模型對(duì)網(wǎng)絡(luò)安全領(lǐng)域知識(shí)進(jìn)行訓(xùn)練,,在降低模型規(guī)模的同時(shí)保持AI在安全領(lǐng)域的表現(xiàn),,尋找技術(shù)和成本之間的平衡點(diǎn)。
據(jù)了解,在ChatGPT還沒(méi)火之前,,瑞數(shù)信息就已經(jīng)在研究GPT模型了,,目前相關(guān)技術(shù)正在實(shí)驗(yàn)室研發(fā)中。未來(lái),,瑞數(shù)信息計(jì)劃將GPT接口開放給第三方調(diào)用,,與各界伙伴共建AI在安全領(lǐng)域應(yīng)用的生態(tài)圈。
結(jié)語(yǔ)
ChatGPT的出現(xiàn),,使得網(wǎng)絡(luò)安全攻擊變得更容易,,給企業(yè)帶來(lái)了極大的風(fēng)險(xiǎn)。如今,,在網(wǎng)絡(luò)安全攻防對(duì)抗模式不斷升級(jí)的趨勢(shì)下,,以AI對(duì)抗AI必將是未來(lái)的發(fā)展方向。瑞數(shù)信息作為網(wǎng)絡(luò)安全領(lǐng)域創(chuàng)新廠商也將持續(xù)提升AI技術(shù),,為企業(yè)用戶搭建面向智能時(shí)代的新一代主動(dòng)防御安全體系,。
關(guān)于我們 丨聯(lián)系我們 丨集團(tuán)招聘丨 法律聲明 丨 隱私保護(hù)丨 服務(wù)協(xié)議丨 廣告服務(wù)
中國(guó)西藏新聞網(wǎng)版權(quán)所有,,未經(jīng)協(xié)議授權(quán),禁止建立鏡像
制作單位:中國(guó)西藏新聞網(wǎng)丨地址:西藏自治區(qū)拉薩市朵森格路36號(hào)丨郵政編碼:850000
備案號(hào):藏ICP備09000733號(hào)丨公安備案:54010202000003號(hào) 丨廣電節(jié)目制作許可證:(藏)字第00002號(hào)丨 新聞許可證54120170001號(hào)丨網(wǎng)絡(luò)視聽許可證2610590號(hào)