如果要说2023年初最火爆的网络平台无疑是人工智能领域的新宠——ChatGPT这款智能聊天机器人模型,以“人机交互”的方式吸引了无数网友与之互动喜欢”的方式,因为它不仅能完全理解人类提出的问题,还会给出不再是“人为智障”的答案,而且会实际投入到很多生产力实践中,比如编程、绘图、脚本编写,甚至诗歌和其他文案。一时间,人们开始讨论:以ChatGPT为代表的人工智能会不会在不久的将来取代大量人类的职业?其实,在讨论这个问题之前,我们更需要警惕的是,它诞生于网络世界,存在着极大的安全隐患,甚至面临着法律风险。就像圈内流传的笑话:ChatGPT玩的好,早晚少不了监狱粮?ChatGPT诞生:才华横溢、聪明伶俐,但仍未“合格”ChatGPT(ChatGenerativePre-TrainedTransformer,全称ChatGenerativePre-TrainingTransformer)是全球领先的人工智能公司OpenAI推出的人工智能聊天机器人模型,出生于2022年11月30日。通过利用人类反馈强化模型技术,将人类偏好作为奖励信号对模型进行微调,从而不断学习人类语言,真正像人类一样聊天和交流。正是因为真正披上了现实生活的外衣,ChatGPT自诞生之日起便迅速风靡全球。截至2023年1月末,ChatGPT的月活跃用户数已突破1亿,成为全球增长速度最快的爆款应用之一。就在ChatGPT越来越能发挥其多才多艺的同时,人们也越来越焦虑:他们的饭碗是否岌岌可危?正如机器解放了人力,取代了过去大量的体力劳动一样,历史的发展很可能会推动人工智能进一步参与到人类的工作中,用更少的人力来完成同样的工作内容。但就目前的技术水平而言,完全达到这一点还没有可预见的时间表。以ChatGPT为代表的人工智能虽然可以在与人类的对话中不断模仿和学习,但仍处于探索的初级阶段,但基础仍然是在大量文本和学习模型的基础上不断调试。答案全部来自网络,无法真正主观理解人类语言的真正含义,也难以针对具体的真实场景给出切实可行的答案。回答。ChatGPT在没有经过大量语料训练的情况下遇到专业领域的问题时,给出的答案往往不能回答实际问题,同样也不具备人类所擅长的扩展能力。比如下图,在回答气象相关的问题时,由于气象领域比较小且复杂,没有经过足够的培训,ChatGPT给出了一个类似“营销号”的问题,没有实质性的内容。回复。因此,即使ChatGPT能够应付日常工作,也只是一些不需要太多创造力的重复性工作。但即便如此,ChatGPT依然可以在网络安全领域发挥积极作用,有望成为网络安全人士的得力助手。ChatGPT在网络安全检测漏洞代码方面的优势ChatGPT可以帮助安全人员对代码进行安全检测。经过初步测试,如果你复制一段易受攻击的代码并让ChatGPT对其进行分析,该工具可以快速识别安全问题并给出具体的修复建议。虽然存在一些缺点,但对于想要快速检查其代码片段是否存在漏洞的开发人员而言,它确实是一个有用的工具。随着越来越多的企业推动将安全构建到软件开发工作流程中,ChatGPT准确快速的检测能力可以有效提高代码安全性。任务自动化ChatGPT有望进一步增强脚本编写、策略编排和安全报告的自动化,例如为渗透测试报告编写修复指南。ChatGPT还可以更快地编写大纲,这有助于在报告中添加自动化元素,甚至可以为员工提供网络安全培训课程。在威胁情报方面,ChatGPT有望显着提高情报效率和实时信任决策,部署比当前访问和身份模型更高的置信度,并形成有关访问系统和信息的实时结论。ChatGPT在网络安全方面的风险任何新技术往往都有缺点和风险。ChatGPT在帮助人类让安全产品变得更加智能,协助人类应对安全威胁的同时,基于信息收集和再利用的工作原理,是否会跨越安全边界,产生各种安全风险?此外,虽然ChatGPT的服务条款明确禁止生成恶意软件,包括勒索软件、键盘记录器、病毒,或“其他旨在造成一定程度危害的软件,但在黑客手中,ChatGPT是否仍会变成”爪”会让网络攻击更加广泛和复杂?ChatGPT本身的安全风险由于ChatGPT需要收集广泛的网络数据并从与人的对话中获取信息来训练模型,这表明它也具有获取和吸收敏感信息的能力信息。据硅谷媒体报道,亚马逊律师表示,他们在ChatGPT生成的内容中发现了与公司内部机密非常相似的文字,这可能是因为部分亚马逊员工在使用ChatGPT生成代码时输入了公司内部数据信息,文本。担心这些数据成为ChatGPT用于迭代的训练数据。微软内部的工程师也告诫员工,在日常工作使用中不要向OpenAI终端发送敏感数据,因为OpenAI可能会将其用于未来的模型训练。这又涉及到另一个问题:从互联网上收集海量数据合规吗?欧洲数据保护委员会(EDPB)成员AlexanderHanff质疑ChatGPT是商业产品。虽然互联网上可以访问的信息很多,但是从禁止第三方爬取数据的网站收集海量数据可能会违反相关规定。这不是合理使用。此外,还必须考虑受GDPR保护的个人信息。抓取此类信息是不合规的,使用海量原始数据可能会违反GDPR的“最少数据”原则。同样,当ChatGPT用人类语言训练时,是否可以有效删除一些个人数据?根据OpenAI官网公布的隐私政策,OpenAI并未提及欧盟的GDPR等数据保护法规。在“使用数据”条款中,OpenAI承认会收集用户在使用服务时输入的数据,但并未进一步说明数据的用途。根据GDPR第17条,个人有权要求删除其个人数据,即“被遗忘权”或“删除权”。但是像ChatGPT这样的大型语言模型会“忘记”用于训练自身的数据吗?对于OpenAI能否在个人要求时彻底删除模型中的数据,业内人士认为,此类模型很难删除所有痕迹的个人信息。此外,训练此类模型的成本很高,人工智能公司不太可能在每次有人要求删除某些敏感数据时都重新训练整个模型。利用ChatGPT从事非法经营活动随着chatGPT刷屏,国内也出现了很多相关的微信公众号和小程序。由于ChatGPT在中国大陆还没有正式开通服务,无法用大陆手机号注册聊天,所以这些小程序开始号称提供ChatGPT聊天套餐服务,比如9.99元20次对话到999.99元无限对话配额等。也就是说,这些小程序充当国内用户和ChatGPT之间的中介。但即便是中介也往往难以辨别真假。虽然有账号声称调用了ChatGPT端口,但不排除实际使用的是其他机器人型号,对话质量远不如ChatGPT。与提供所谓ChatGDT对话服务的公众号小程序类似,部分卖家也提供电商平台销售ChatGPT账号和代理注册服务。有媒体调查发现,部分卖家从境外可以修改密码的网站批量购买现成的账号。成本在8元左右,对外售价可达30元。如果是代理注册,费用可低至1.2元。且不说上述渠道存在泄露个人隐私的风险,私建国际渠道、公开提供跨境商务服务的情况也违反了的相关规定。目前,这些公众号或带ChatGPT字样的小程序,大部分都已被微信官方封禁,相关平台也在封杀此类账号买卖。被黑客利用进行网络攻击正如前文所述,ChatGPT可以帮助安全人员检测易受攻击的代码,它也可以为黑客进行类似的操作。数字安全调查媒体Cyber??news的研究人员发现,ChatGPT可以被黑客用来寻找网站的安全漏洞。在他们的帮助下,研究人员在一个普通网站上进行了渗透测试,并在45分钟内结合了ChatGPT提供的建议和代码。更改示例完成破解。另外,ChatGPT可以用来编程,相应的,它也可以用来编写恶意代码。例如,要通过ChatGPT编写VBA代码,只需在这段代码中插入一个恶意URL,当用户打开一个Excel文件时,它就会自动开始下载恶意软件负载。因此,ChatGPT可以让没有太多技术含量的黑客在短短几分钟内炮制出带有附件的武器化邮件,对目标进行网络攻击。去年12月,黑客在地下论坛上分享了ChatGPT编写的Python窃取器代码。窃取者可以搜索常见的文件类型(例如MSOffice文档、PDF和图像文件)并将它们复制到Temp文件夹中的文件中。随机子文件夹,压缩并将它们上传到硬编码的FTP服务器。黑客在论坛中展示了如何使用ChatGPT创建信息窃取程序。因为ChatGPT可以学习人类语言,所以在写钓鱼邮件等社会工程行为时,在语法和表达习惯上会比较混乱。研究人员发现,ChatGPT使黑客能够逼真地模拟各种社交环境,从而使任何有针对性的攻击都更加有效。即使是一些非母语国家的黑客也可以编写符合目标国家语法和逻辑的邮件,而不会出现任何拼写错误或格式错误的高度逼真的钓鱼邮件。在利用ChatGPT产生的钓鱼邮件初步盘点了上述ChatGPT网络安全的优势和风险后,很明显,两者形成了几乎完全相反的两面,即如果黑客能够发现漏洞和攻击面,然后他们还可以帮助安全人员检查漏洞并填补漏洞,缩小被攻击的漏洞。不过,现阶段ChatGPT的安全辅助还需要专业人士的审核和认可,过程中可能存在滞后。而那些出于经济动机的犯罪黑客,通常直接利用人工智能发动攻击,其威胁是不可估量的。人工智能安全是否急需监管约束?毫无疑问,以ChatGPT为代表的人工智能是近年来一项优秀技术的体现,但由于这种新技术的双重性,网络安全和IT专业人士对ChatGPT无疑是百感交集。根据黑莓最近的一项研究,虽然80%的企业表示他们计划到2025年投资人工智能驱动的网络安全,但75%的企业仍然认为人工智能对安全构成严重威胁。这是否意味着我们迫切需要一批新规来专门规范人工智能产业的发展?我国有专家学者指出,ChatGPT如今取得的轰动效应和多方资本的入局尝试,并不意味着人工智能产业取得了突破性发展。ChatGPT目前可以处理的任务具有明显的重复性和模板性特征。因此,监管机构没有必要立即将ChatGPT技术监管作为现阶段网络空间治理的核心任务,否则,我国的立法模式将陷入“出新技术、出新规”的逻辑循环。.就目前而言,我国出台了《网络安全法》、《网络信息内容生态治理规定》、《互联网信息服务算法推荐管理规定》等法律法规,对滥用人工智能技术和算法技术规定了详细的法定义务和监管制度,足以处理短期聊天GPT可能会导致网络安全风险。现阶段,我国监管部门可充分利用现有法律体系,加强对ChatGPT相关行业的监管;未来,当经验成熟时,可以考虑在人工智能技术应用领域启动立法,应对各种潜在的安全风险。而在国外,欧盟计划在2024年推出《人工智能法案》,提议成员国必须任命或设立至少一个监督机构,负责确保“必要的程序得到遵守”。该法案预计将用于从自动驾驶汽车和聊天机器人到自动化工厂的所有领域。事实上,讨论ChatGPT的安全性,以及人类的工作是否会被人工智能取代,最终可能会归结为一个命题:究竟是人工智能控制人类,还是人类控制人工智能。如果人工智能良性发展,辅助人类提高工作效率,加速社会进步,我们的网络也是安全的,而如果人类无法控制人工智能,让它向无序方向发展,那一定是一个充满世界的时候,网络安全可能不再是“红蓝小打小闹”,而是对整个人类社会秩序的颠覆。
