自OpenAI于11月下旬推出ChatGPT以来,各方评论员都担心人工智能驱动的内容创作将产生深远影响,尤其是在网络安全领域。事实上,许多研究人员担心生成式人工智能解决方案会使网络犯罪大众化。虽然安全团队也可以将ChatGPT用于防御目的,例如测试代码,但它降低了网络攻击的进入壁垒/门槛,这无疑使威胁形势进一步复杂化。网络犯罪的“民主化”从网络安全的角度来看,ChatGPT的诞生带来的主要挑战是任何人——无论多么熟练——都可以按需编写代码来生成恶意软件和勒索软件。“正如ChatGPT可用于帮助开发人员编写代码一样,它也可以(并且已经)用于恶意目的,”Tanium端点安全专家MattPsencik说。网络钓鱼电子邮件,或协助逆向工程代码以查找可能被恶意使用的零日漏洞,而不是将它们报告给相关供应商。”然而,Psencik指出,ChatGPT确实有内置的保护机制,旨在防止该解决方案被用于犯罪活动。例如,它会拒绝创建shellcode或提供有关如何创建shellcode和反转shell的具体说明,并标记恶意关键字(例如网络钓鱼)以阻止请求。然而,这些保护措施的问题在于它们依赖人工智能来识别用户编写恶意代码的企图,在这种情况下,用户可以通过改写查询来混淆识别。如何使用ChatGPT创建勒索软件和钓鱼邮件虽然ChatGPT发布时间不长,但安全研究人员已经开始测试其生成恶意代码的能力。例如,PicusSecurity的安全研究员兼联合创始人SuleymanOzarslan博士最近使用ChatGPT不仅创建了网络钓鱼活动,还创建了针对MacOS的勒索软件。“我们从一个简单的练习开始,看看ChatGPT是否可以创建可信的网络钓鱼活动,事实证明确实如此,”Ozarslan说。“我输入了使用网络钓鱼模拟编写世界杯主题电子邮件的提示,它在短短几秒钟内就创建了一封完美的英语电子邮件。”在这个例子中,Ozarslan自称是一家攻击模拟公司的安全研究员,希望开发一种钓鱼攻击模拟工具来“说服”AI生成钓鱼邮件。尽管ChatGPT意识到“网络钓鱼攻击可用于恶意目的,并可能对个人和企业造成伤害”,但还是生成了这封电子邮件。在最初的尝试之后,Ozarslan要求ChatGPT为Swift编写代码,它会在MacBook上找到MicrosoftOffice文件,通过HTTPS将它们发送到Web服务器,然后加密MacBook上的Office文件。该解决方案通过生成示例代码来响应,没有任何警告或提示。Ozarslan的研究表明,网络犯罪分子可以通过将自己伪装成研究人员或掩盖其恶意意图,轻松绕过OpenAI的保护机制。网络犯罪的增加导致规模扩大虽然ChatGPT确实为安全团队带来了积极的好处,但它有可能通过降低网络犯罪分子的进入门槛来加速而不是降低威胁形势的复杂性。例如,网络犯罪分子可以利用人工智能在野外增加网络钓鱼威胁的数量,这不仅进一步加重了安全团队的负担,而且只需成功一次即可引发大规模数据泄露,造成数百万美元的经济损失和无法挽回的损失声誉损失。电子邮件安全提供商IRONSCALES的研发副总裁LomyOvadia表示,“在网络安全方面,ChatGPT给攻击者带来的不仅仅是他们的目标。对于商业电子邮件妥协(BEC)来说尤其如此,因为此类攻击依赖于使用欺骗性内容冒充同事、公司贵宾、供应商甚至客户。”Ovadia认为,如果CISO和安全领导者依赖基于策略的安全工具来检测带有AI/GPT-3生成内容的网络钓鱼攻击,他们注定会失败,因为这些AI模型使用高级自然语言处理(NLP)来生成诈骗电子邮件几乎不可能与真实的例子区分开来。例如,今年早些时候,新加坡政府技术机构的安全研究人员创建了200封钓鱼邮件,并将它们的点击率与深度学习模型GPT-3创建的邮件进行了比较,发现更多的用户点击了人工智能生成的钓鱼邮件,而不是人类用户生成的电子邮件。好消息?虽然生成式人工智能确实给安全团队带来了新的威胁,但它也提供了一些积极的用例。例如,分析师可以使用该工具在部署前审查易受攻击的开源代码。HackerOne的解决方案架构师DaneSherrets说:“今天,我们看到很多有道德的黑客使用现有的人工智能技术来帮助编写漏洞报告、生成代码示例以及识别大型数据集中的趋势。这一切都说明,当今人工智能最好的应用,就是帮助人类做更多有益于人类的事情。然而,试图利用ChatGPT等生成式AI解决方案的安全团队仍然需要确保充分的人工监督以避免潜在问题。Sherrets补充说:“ChatGPT所代表的进步令人兴奋,但技术还不成熟。”发展到完全自主运行的地步。要让AI发挥作用,它还需要人工监督和一些手动配置,而且它不能总是在绝对最新的数据和情报上运行和训练。正是出于这个原因,Forrester建议实施生成式AI的企业应该部署工作流和治理来管理AI生成的内容和软件,以确保其准确性并降低发布安全或性能问题的风险。解决方案的可能性。不可避免地,生成式AI和ChatGPT的真正风险将取决于安全团队或威胁参与者是否在AI战斗中更有效地使用自动化。
