企業動態

OpenAI發布的人工智能聊天機器人ChatGPT，上線2個月活躍用戶就突破了1億，成為全球關註的焦點。奇安信人工智能研究院負責人表示，公司正在基於ChatGPT相關技術和自身積累的海量安全知識和數據，訓練奇安信專有的類ChatGPT安全大模型。未來將廣泛應用於安全產品開發、威脅檢測、漏洞挖掘、安全運營及自動化、攻防對抗、反病毒、威脅情報分析和運營、涉網犯罪分析等領域。

上述負責人表示，ChatGPT是使用互聯網數據及部分由標註人員人工編寫的對話數據，利用人類反饋強化學習（RLHF）技術及自有的GPT3.5大模型進行訓練而成的。奇安信團隊對於相關的強化學習、大語言模型等技術，已經有長時間的實踐，並取得了多項成果。

如同其他人工智能模型壹樣，ChatGPT對網絡安全是把雙刃劍，既可以是網絡釣魚、惡意軟件生成、社工攻擊的強大工具，也成為網絡防禦者的有力助手。

壹方面，眾多安全專家警告，由OpenAI開發並免費在線提供的ChatGPT，隱藏著眾多潛在網絡安全風險，可能構成嚴重的網絡安全威脅。網絡攻擊者已開始使用ChatGPT來創建惡意軟件、暗網站點和其他實施網絡攻擊的工具。同時有越來越多的證據表明，ChatGPT也可以成為網絡防禦者的強大武器。

ChatGPT：改變網絡威脅格局的黑客新工具？

長期以來，很多網絡安全專業人士壹直對人工智能的作用持懷疑態度，習慣於嘲笑相關企業對於人工智能作用的大肆宣傳（誇大）。人工智能技術在識別安全威脅方面發揮了重要的價值，但事實證明，很多解決方案遠沒有宣傳的那麽實用，而是被營銷團隊誇大了。

對於火熱的ChatGPT，網絡安全專業人士給予了前所未有的關註。ChatGPT亮相僅數周，網絡安全公司CheckPoint就利用聊天機器人ChatGPT，結合OpenAI的代碼編寫系統Codex，生成了能攜帶惡意載荷、編寫巧妙的網絡釣魚郵件。CheckPoint創建的網絡釣魚電子郵件，附有Excel文檔，其中包含將反向shell下載到受害者系統的惡意代碼。

CheckPoint安全專家認為，這表明ChatGPT有“顯著改變網絡威脅格局的潛力”，代表著“日益復雜的網絡能力在危險演化上又向前邁進了壹步”。

利用ChatGPT生成的釣魚郵件

威脅情報公司RecordedFuture的研究人員在最新報告中表示，使用ChatGPT編寫用於網絡攻擊的惡意軟件代碼，降低了攻擊者的編程或技術能力門檻。根據報告，“只要對網絡安全和計算機科學的基礎知識有基本了解，就可借助ChatGPT實施網絡攻擊。PaloAltoNetworks公司的安全專家SeanDuca也認為：“ChatGPT降低了網絡犯罪的門檻”——即使沒有技術，也能成為攻擊者。其帶來的網絡威脅還有可能蔓延到異次元。

目前網絡釣魚即服務(PhaaS)和勒索軟件即服務(RaaS)可以向攻擊者提供收費工具包，使其可以輕松實施攻擊。而現在ChatGPT則使網絡犯罪活動正經歷另壹種演變：利用ChatGPT面向公眾免費開放的服務，更多危險正在萌芽，這加劇了對於未來安全風險的憂慮。

奇安信：正在訓練公司專有的類ChatGPT安全大模型

RecordedFuture在報告中表示，網絡犯罪分子使用ChatGPT造成的“最緊迫和常見的威脅”主要包括網絡釣魚、社會工程和惡意軟件開發。

（1）網絡釣魚

根據HPWolfSecurity的研究，網絡釣魚占惡意軟件攻擊的近90%。ChatGPT使情況變得更糟：它在模仿人類書寫方面的專長，使其可能成為強大的網絡釣魚工具，尤其對英語不流利的攻擊者特別有用。

撰寫出色的網絡釣魚電子郵件是壹門藝術和科學。借助ChatGPT，編寫釣魚郵件會變得更容易，且沒有任何拼寫錯誤或奇怪的格式，而這些通常是區分釣魚與合法郵件的關鍵。攻擊者可以借助ChatGPT創造多種釣魚郵件，例如“使郵件看起來很緊急”、“收件人點擊鏈接的可能性很高的郵件”、“請求匯款的社工郵件”等。

AkamaiTechnologies首席技術官兼執行副總裁RobertBlumofe表示：“ChatGPT使攻擊者能有效地將普通釣魚的數量與魚叉式網絡釣魚（定向）的高收益結合起來。”普通網絡釣魚的規模很大，以電子郵件、短信和社交媒體帖子的形式發送數百萬個誘餌。但這類通用的形式，容易被發現，往往回報較低。魚叉式網絡釣魚利用社會工程，創建具有更高回報的針對性和定制化的誘餌，但因需要大量的人工投入，因而數量較少。借助ChatGPT生成網絡誘餌，攻擊者就可以實現事半功倍的效果。

（2）惡意軟件生成

目前安全人員已發現網絡攻擊者使用ChatGPT來開發惡意軟件。盡管ChatGPT的設置阻止其直接做惡，比如詳細說明如何制造炸彈或編寫惡意代碼，但多個研究人員已經找到方法，能繞開和規避ChatGPT為防止濫用而設置的規則。BugCrowd首席技術官、創始人兼董事長CaseyJohnEllis將ChatGPT的出現稱為對抗性AI/機器學習知識領域的“糟糕”時刻。

在地下黑客論壇上，網絡攻擊者展示如何使用ChatGPT創建新的木馬。只要簡要地描述所需的功能（“將所有密碼保存在文件X中，並通過HTTPPOST發送到服務器Y”），就可以得到簡單的信息竊取器，而不需要任何編程技能。考慮到已經有犯罪集團提供惡意軟件即服務，在ChatGPT等人工智能程序的幫助下，攻擊者借助人工智能生成的代碼發起網絡攻擊可能會變得更快、更容易。ChatGPT賦予甚至經驗不足的攻擊者編寫更準確的惡意軟件代碼的能力，而這在以前只能由專家來完成。ChatGPT的代碼編寫質量好壞參半，但無疑可以加速惡意軟件的開發。

RecordedFuture在暗網和封閉論壇發現了1,500多條關於在惡意軟件開發和概念驗證代碼創建中使用ChatGPT的資料。其中包括利用開源庫發現的惡意代碼對ChatGPT進行培訓，以生成可逃避病毒檢測的惡意代碼不同變體，以及使用ChatGPT創建惡意軟件配置文件並設置命令和控制系統。值得註意的是，根據RecordedFuture研究人員的說法，ChatGPT還可以用於生成惡意軟件有效載荷。研究團隊已經確定了ChatGPT可以有效生成的幾種惡意軟件有效負載，包括信息竊取器、遠程訪問木馬和加密貨幣竊取器。

當然ChatGPT並不是編寫惡意軟件的專家，它生成的惡意代碼可能存在細微的錯誤和邏輯缺陷，從而降低其有效性。這意味著生成高質量的惡意代碼顯然離不開攻擊者專業知識的支撐。

（3）社會工程

ChatGPT作為由OpenAI訓練的大型語言模型，能夠生成可用於多種用途的類人文本。其中壹種用途是在社會工程攻擊領域。社會工程攻擊是壹種依靠心理操縱來誘騙人們泄露敏感信息或執行某些操作的策略。這可以通過各種方式完成，包括網絡釣魚詐騙、借口和其他形式的欺騙。

ChatGPT和其他基於GPT-3的工具使社會工程攻擊能夠從其“創造力和對話方法”中受益。就像互聯網為網絡犯罪分子消除物理障礙壹樣，這些工具的修辭能力可以消除文化障礙。

研究人員發現，ChatGPT等GPT-3工具使犯罪分子能夠逼真地模擬各種社會環境，從而使任何針對性的通信攻擊都更加有效。GPT-3這類語言模型提供支持的工具，使攻擊者更易誘騙受害者提供敏感信息或下載惡意軟件，加速從網絡釣魚到傳播仇恨言論的所有級別和目的的社會工程攻擊。

總的來說，ChatGPT生成類人文本的能力可以成為社會工程攻擊的強大工具。通過創建令人信服的消息，ChatGPT可用於操縱個人泄露敏感信息或執行某些操作。未來需要更多人意識到ChatGPT的這種潛在用途，在與未知來源互動時保持謹慎。

ChatGPT同樣是安全防護的福音

與所有技術壹樣，ChatGPT本身是壹把雙刃劍。盡管越來越多的研究人員認為ChatGPT可能成為黑客的盟友，但這壹可生成不良內容的工具，也可以用來幫助安全人員提高效率，提高惡意信息識別、抵禦網絡攻擊的能力，這主要包括釣魚檢測、漏洞發現和安全事件響應。

（1）網絡釣魚檢測

2022年11月，知名《安全雜誌》報告稱，2022年前11個月發生2.55億次釣魚攻擊，同比2021年激增了61%。人是安全鏈中最薄弱的環節，掌握著訪問敏感數據的密鑰。攻擊者往往利用定制的釣魚郵件來獲取對敏感數據的訪問權限。

ChatGPT可以被攻擊者創造釣魚郵件，同樣可以從大型語言模型中學習，幫助組織識別和標記釣魚郵件，在郵件進入收件人的收件箱之前就可以進行標記，從而顯著降低網絡釣魚活動成功的機會。網絡安全專業人員還可以利用ChatGPT來訓練網絡釣魚檢測系統，以識別與這些攻擊相關的模式和語言。以便提高網絡釣魚檢測系統的效率和有效性。

（2）漏洞發現

ChatGPT可用於幫助發現組織使用軟件和系統中的新漏洞。網絡安全行業已經面臨控制大量安全漏洞的挑戰。人工智能將會把安全漏洞數字推得更高，因為它可以更快、更智能地發現漏洞。

安全人員可以使用ChatGPT快速生成大量獨特的輸入，使網絡安全專業人員能夠識別以前未檢測到和未知的漏洞。同時，還使用新獲得的知識和信息來提高軟件和系統的安全性，實施更有效的安全控制，或改進當前的安全措施和實踐。

ChatGPT它與用戶的專業水平相結合，可以使用戶能夠快速學習並有效地采取行動。就像應用程序的在線幫助可以解決問題壹樣，用戶可以從ChatGPT獲得特定漏洞的更多信息以及如何緩解辦法。

未來隨著，ChatGPT模型代碼理解能力的提高，安全防護人員可以詢問軟件代碼的副作用，將其作為開發夥伴，可以顯著提升軟件代碼的安全水平。

隨著ChatGPT人工智能模型的演進，有可能實現漏洞檢測和修復的自動化和/或半自動化，以及基於風險的優先級。這對於面臨資源限制的IT和安全團隊來說將是非常有吸引力的應用。

（3）事件分析與響應

ChatGPT還可以在檢測和響應網絡攻擊，以及改善組織內部的溝通方面發揮關鍵作用。

埃森哲的安全研究人員壹直在嘗試利用ChatGPT的功能，實現網絡防禦自動化的工作。熟練的安全專業人員，網絡安全專業人員負擔過重，ChatGPT實現壹些安全工作的自動化將會給不堪重負的安全團隊帶來福音，同時還有助於“消除信號中的壹些噪音”

多年來，安全運營領域在很多方面壹直停滯不前，分析師收到了大量、過載的信息。通常，安全分析師收到潛在安全事件的警報後，會提取數據以便能“講出故事”，同時判讀是否為真正的攻擊。這通常需要大量手動工作，或者需要使用SOAR（安全編排、自動化和響應）工具將相關工作進行整合。

ChatGPT在這方面展示獨特的優勢：在從安全運營平臺獲取數據後，ChatGPT會生成非常好的摘要，幾乎就像人類分析師在審查後所形成的報告。埃森哲的研究表明，ChatGPT從安全信息和事件管理(SIEM)工具中獲取數據輸出並進行處理可以快速生成安全事件的“故事”。相比人類分析師，ChatGPT可以更快地從數據中創建有關安全事件的清晰畫面。最終，這些可以幫助安全團隊做出更好的安全決策。

ChatGPT的未來：以人工智能對抗人工智能

對ChatGPT未來在網絡安全中扮演什麽角色、有什麽影響，我們很難進行準確的預測。這取決於它的使用方式以及使用的意圖。來自人工智能的威脅並不是新問題，只是ChatGPT展示了壹些看起來很可怕的應用。對於網絡安全人士來說，重要的是要及時意識到ChatGPT的潛在風險並及時采取適當的措施來應對。

安全專家預測，國家背景的黑客將率先在網絡攻擊中利用ChatGPT，而該技術最終會在更多的攻擊組織得到大規模的使用。信息安全專家需要開始開發能夠抵禦此類攻擊的系統。

從網絡安全防護的角度來看，機構可以采取針對性的應對措施。對ChatGPT等類似模型進行培訓，標記惡意的活動和惡意代碼；同時對其設置難以繞過護欄。對於ChatGPT引發的威脅，可以向員工提供新型的網絡意識培訓，掌握識別社會工程攻擊的知識，以便識別ChatGPT等人工智能工具所創造的釣魚攻擊。

當然僅僅是這樣還不夠。ChatGPT等人工智能工具會以比人類罪犯更快的速度制造出新的、日益智能的威脅，傳播威脅的速度也會將超過網絡安全人員的反應速度。對於機構來說，跟上這壹變化速度的唯壹方法是通過使用人工智能來應對人工智能。

壹方面，網絡安全行業的研究人員、從業者、學術和企業可以利用ChatGPT的力量進行創新和協作，包括漏洞發現、事件響應和釣魚檢測。此外，隨著ChatGPT等類似工具的發展，未來開發新的網絡安全工具更加重要。安全企業應更積極地開發和部署基於行為（而非規則）的AI安全工具，來檢測人工智能生成的攻擊。網絡安全僅使用規則驅動的框架來檢測潛在的網絡威脅。行為分析通過使用復雜的機器學習算法來分析整個企業的用戶和實體數據，識別具有風險的外行為，從而實現以人為本的防禦。為了更好地保護機構免受這些新型攻擊，是時候發展和部署基於行為的AI檢測工具了。

安全研究人員認為，展望未來，ChatGPT也可能是壹個信號，表明距離網絡防禦決策的更高自動化不再遙遠。

關於奇安信人工智能研究院：

奇安信人工智能研究院長期致力於研究AI技術在網絡安全領域中的應用，尤其在網絡安全、計算機視覺、自然語言處理、惡意樣本識別等方向提升產品智能化水平。該團隊也是國內最早將深度學習技術成功引入流量識別領域，核心成員曾在BlackHat等頂級安全會議上做主題演講，並多次在ICDAR、Kaggle、天池等人工智能類比賽中獲得第壹名。目前，研究院已申請國家發明專利百余項，所取得的階段性成果已經廣泛應用於公司產品中，並獲批建設國家新壹代人工智能開放創新平臺。