随着最近大语言模型(LLM)ChatGPT的流行,许多网络安全工作者也开始试验其抵御安全威胁的能力。几项实验表明,ChatGPT不仅可以对潜在的安全事件进行分类,还可以从中发现代码中的安全漏洞,即使它没有专门针对此类活动进行过培训。2月15日,卡巴斯基在一项实验中分析了ChatGPT作为事件响应工具的实用程序。他们模仿典型的攻击者使用Meterpreter和PowerShellEmpire代理来感染系统,使用ChatGPT来识别受感染的进程。结果表明,ChatGPT正确排除了137个良性进程,没有误报,识别了2个恶意进程,并提供了为什么该服务应被归类为危害指标的结论。最终,卡巴斯基分析师使用ChatGPT分析了测试系统上3,500多个事件的元数据,发现了74个潜在的危害指标,其中17个是误报。该实验表明,ChatGPT可用于为未运行端点检测和响应(EDR)系统、检测代码混淆或反向工程代码二进制文件的公司收集取证信息。该实验首先向ChatGPT询问了Mimikatz和FastReverseProxy等几种黑客工具。AI模型成功地描述了这些工具,但在被要求识别众所周知的哈希值和域时却失败了——例如,ChatGPT未能识别恶意软件WannaCry的众所周知的哈希值。然而,很明显卡巴斯基在识别主机上的恶意代码方面更为成功,他们要求ChatGPT创建一个PowerShell脚本来从系统中收集元数据和危害指标并提交。在手动改进代码后,安全人员在受感染的测试系统上使用该脚本。在此之前,其他安全公司也在研究如何使用此类模型来执行特定的国防相关任务。去年12月,数字取证公司CadoSecurity使用ChatGPT创建了事件中JSON数据的折衷时间表,生成了一份“不完全准确但总体上不错”的报告。结果可用吗?由此可见,ChatGPT得到的结果是可用的?安全咨询公司NCCGroup尝试将ChatGPT作为一种查找代码漏洞的方法,但结果“并不总是准确”。NCCGroup首席科学家ChrisAnley表示,安全分析师、开发人员和逆向工程师在使用像ChatGPT这样的大型语言模型时应该谨慎行事,尤其是对于超出他们能力范围的任务。“我赞扬专业开发人员和其他使用代码探索ChatGPT和类似模型的人,但更多的是为了获得灵感,而不是为了获得可靠、现实的结果,”ChrisAnley说。“使用ChatGPT进行安全代码审查对我们来说不是最佳选择,因此期望它在第一次就完美是有点不公平。”现实问题,要注意这些可能的误报和漏报,并说目前的ChatGPT“只是另一个容易出现意外结果的统计神经网络”。隐私规则有待改进现在公司开始对使用互联网上的信息创建数据集提出质疑,NCCGroup的Anley表示,安全专家必须确定提交入侵指标是否会暴露敏感数据,或者提交软件代码进行分析是否侵犯了公司的知识产权财产权。“向ChatGPT提交代码是否是个好主意在很大程度上取决于具体情况。”很多代码是专有的并受各种法律保护,所以我不建议人们在没有获得许可的情况下将代码提交给第三方。安利说。谢尔盖耶夫也发出了类似的警告。使用ChatGPT检测漏洞,必然会向系统发送敏感数据,这可能会违反公司政策,并可能带来业务风险。
