從攻擊視角探討ChatGPT對網(wǎng)絡(luò)安全的影響

專家介紹

ChatGPT是OpenAI 發(fā)布的基于人工智能的對話機器人，上線短短2個月活躍用戶就突破了1億，成為全球關(guān)注的焦點。ChatGPT可以自動化地處理對話，可以通過基于自然語言處理技術(shù)的模型、情景模型和語言模型來自動生成文章，甚至可以按照用戶的要求編寫代碼。那么ChatGPT會對網(wǎng)絡(luò)安全行業(yè)帶來哪些影響呢？接下來我們將通過系列文章，分別從“攻”、“防”、ChatGPT的不足以及安全領(lǐng)域的應(yīng)用建議等方面來分析ChatGPT在網(wǎng)絡(luò)安全領(lǐng)域的作用。

本篇將從“攻”的視角

看看ChatGPT制作網(wǎng)絡(luò)攻擊工具的能力

讓ChatGPT生成釣魚郵件

能力指數(shù)：★★★★☆

我們讓ChatGPT來生成一封以“疫情防護”為主題的中文釣魚郵件。

ChatGPT采用“以假亂真”的策略，以防患釣魚郵件的主題來誘惑用戶點擊釣魚鏈接，這種誘導(dǎo)性的話術(shù)令人咋舌。

結(jié)論

ChatGPT可以說是一名釣魚郵件專家，綜合評價：★★★★。它具有自然語言理解和自我訓(xùn)練的能力，可以從網(wǎng)絡(luò)或現(xiàn)實世界學(xué)習(xí)文本，并生成許多不同類型的釣魚郵件，誘導(dǎo)用戶點擊。

讓ChatGPT生成惡意代碼，

能力指數(shù)：★★★☆☆

第一步，小試牛刀：“兩數(shù)之和”編程

ChatGPT生成代碼的前提是對于代碼實現(xiàn)功能的深刻理解，為了驗證ChatGPT的編程能力，我在LeetCode上選擇了一個two sum的經(jīng)典雙指針編程題目，觀察它的實現(xiàn)情況。

提交后可以看到它的代碼完全正確，并擊敗了96.7%的用戶。

我懷疑ChatGPT這個老六“不講武德”，抄襲了某個GitHub的答案。因為它給出的函數(shù)名居然和LeetCode的一模一樣。

第二步，高難度算法編程挑戰(zhàn)

為了進一步驗證，我又找了一個無法輕易找到源碼的背包類動態(tài)規(guī)劃算法編程題。

經(jīng)過分析發(fā)現(xiàn)，ChatGPT給出的動態(tài)規(guī)劃代碼有一處錯誤，那就是：dp[i][j] = max(dp[i-1][j],dp[i-1][j-A[i-1]] + V[i-1])應(yīng)改為dp[i][j] = max(dp[i-1][j],dp[i][j-A[i-1]] + V[i-1])，只需要稍微改動，即可實現(xiàn)正常運行。盡管有一點小小的瑕疵，但是ChatGPT已經(jīng)做到了很不錯的水平！

第三步，讓ChatGPT生成惡意代碼

1.首先，讓ChatGPT生成PHP一句話木馬。

這個一句話木馬很熟悉吧，它完全可以正常工作。

2.我們繼續(xù)讓它生成一些高階的包含base64_decode函數(shù)的WebShell。

是不是有種被拿捏的感覺?。。∥覀冊僮屍渖筛鞣N變形WebShell，ChatGPT仍能輕松應(yīng)對。

3.眾所周知，檢測加密WebShell是WebShell檢測的一大挑戰(zhàn)，我們嘗試讓其生成基于PHP編寫的加密WebShell。

ChatGPT提供的后門代碼，只要更改秘鑰$key即可使用。ChatGPT能夠一鍵生成常見網(wǎng)絡(luò)攻擊腳本，這讓我們網(wǎng)絡(luò)防御工作者既驚嘆不已，又深感憂慮，因為它大大降低了網(wǎng)絡(luò)攻擊的門檻。

第四步，讓ChatGPT生成勒索軟件

可以看到，上面的代碼完全能夠正常運行。為了能夠?qū)崿F(xiàn)免殺，我們試著問ChatGPT：

它的回答非常全面，令人印象深刻。但對復(fù)雜的編譯語言惡意樣本，尤其對于隱蔽性、高對抗性、反調(diào)試性等高級要求，則ChatGPT能力相對不足，只能給出相關(guān)知識。

結(jié)論

ChatGPT惡意代碼生成能力尤其是腳本能力突出，但高階的對抗型樣本生成略顯不足，綜合評分：★★★。

那么是什么原因讓ChatGPT的代碼生成能力如此突出呢？

1.ChatGPT的代碼生成原理：ChatGPT通過利用大量的代碼和文本混合數(shù)據(jù)進行訓(xùn)練，來達到創(chuàng)造出新的有效代碼以及惡意代碼的能力。其中，所訓(xùn)練的數(shù)據(jù)包括CSDN、Stack Over Flow、GitHub等網(wǎng)站收集的數(shù)據(jù)。

2.ChatGPT準(zhǔn)確理解用戶的對話意圖原理：ChatGPT是基于Transformer模型的語言模型，核心算法是基于雙向語言模型（BiLM）和注意力機制（Attention）的Transformer模型。Transformer模型可以產(chǎn)生語義上更準(zhǔn)確的響應(yīng)，而注意力機制可以更加準(zhǔn)確地理解用戶輸入，從而更好地回應(yīng)用戶問題。

利用ChatGPT輔助測試和開發(fā)

水能覆舟，亦能載舟。對于滲透測試人員和BAS類安全產(chǎn)品開發(fā)人員，ChatGPT可以幫助生成單元測試代碼或滲透測試的腳本，省掉不少苦力活。例如：

結(jié)語

ChatGPT的出現(xiàn)，使得網(wǎng)絡(luò)安全攻擊變得更容易，這給企業(yè)帶來了極大的風(fēng)險。ChatGPT利用黑客的知識和技術(shù)，通過釣魚郵件和惡意代碼生成等手段來降低攻擊成本，使黑客可以更容易地攻擊企業(yè)的網(wǎng)絡(luò)。在網(wǎng)絡(luò)安全的攻防對抗模式下，以智能對抗智能是未來發(fā)展的方向。

下期預(yù)告

請期待下期，我們將從防御者的視角，深入探討如何通過ChatGPT提升網(wǎng)絡(luò)安全防御能力。

關(guān)注“數(shù)據(jù)通信視頻號”了解更多資訊～

點擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！