人工智能開(kāi)發(fā)商O(píng)penAI公司最近發(fā)布的ChatGPT-4又震驚了世界，但它對(duì)數(shù)據(jù)安全領(lǐng)域意味著什么，目前還沒(méi)有定論。一方面，生成惡意軟件和勒索軟件比以往任何時(shí)候都更容易。在另一方面，ChatGPT也可以提供一系列新的防御措施用例。
　　行業(yè)媒體最近采訪了一些世界頂級(jí)的網(wǎng)絡(luò)安全分析師，他們對(duì)2023年ChatGPT和生成式人工智能的發(fā)展進(jìn)行了以下預(yù)測(cè)：

　　ChatGPT將降低網(wǎng)絡(luò)犯罪的門(mén)檻。

　　制作令人信服的釣魚(yú)郵件將變得更容易。

　　企業(yè)將需要了解人工智能技術(shù)的安全專業(yè)人員。

　　企業(yè)將需要驗(yàn)證生成式人工智能輸出的內(nèi)容。

　　生成式人工智能將升級(jí)現(xiàn)有的威脅。

　　企業(yè)將定義對(duì)ChatGPT使用的期望。

　　人工智能將增強(qiáng)人類的能力。

　　企業(yè)仍將面臨同樣的原有威脅。

　　以下是網(wǎng)絡(luò)安全分析師的一些預(yù)測(cè)。

　　1.ChatGPT將降低網(wǎng)絡(luò)犯罪的門(mén)檻

　　McAfee公司高級(jí)副總裁兼首席技術(shù)官SteveGrobman表示，“ChatGPT降低了使用門(mén)檻，使在傳統(tǒng)上需要投入高技能人才和大量資金的一些技術(shù)對(duì)任何可以訪問(wèn)互聯(lián)網(wǎng)的人來(lái)說(shuō)都是可以采用的。技術(shù)不熟練的網(wǎng)絡(luò)攻擊者現(xiàn)在有辦法批量生成惡意代碼。

　　例如，他們可以要求程序編寫(xiě)代碼，生成發(fā)送給數(shù)百個(gè)人的短信，就像一個(gè)非犯罪的營(yíng)銷(xiāo)團(tuán)隊(duì)所做的工作那樣。它不是將收件人引導(dǎo)到安全的網(wǎng)站，而是將他們帶到一個(gè)帶有惡意威脅的網(wǎng)站。雖然其代碼本身并不是惡意的，但它可以用來(lái)傳遞危險(xiǎn)的內(nèi)容。

　　與各有利弊的任何新興的技術(shù)或應(yīng)用程序一樣，ChatGPT也會(huì)被好人和壞人使用，因此網(wǎng)絡(luò)安全社區(qū)必須對(duì)其被利用的方式保持警惕。”

　　2.制作令人信服的釣魚(yú)郵件將變得更容易

　　麥肯錫公司合伙人JustinGreis表示，“從廣義上來(lái)說(shuō)，生成式人工智能是一種工具，就像所有工具一樣，它可以用于美好的目的，也可以用于邪惡的目的。如今已經(jīng)有許多用例被引用，威脅行為者和好奇的研究人員正在制作更有說(shuō)服力的網(wǎng)絡(luò)釣魚(yú)電子郵件，生成惡意代碼和腳本來(lái)發(fā)起潛在的網(wǎng)絡(luò)攻擊，甚至只是為了查詢更好、更快的情報(bào)。

　　但對(duì)于每一起濫用案件，都將繼續(xù)采取控制措施來(lái)對(duì)付它們。這就是網(wǎng)絡(luò)安全的本質(zhì)，這是一場(chǎng)永無(wú)止境的超越對(duì)手、超越防御者的競(jìng)賽。

　　與任何可能被用于惡意傷害的工具一樣，企業(yè)必須設(shè)置護(hù)欄和保護(hù)措施，以保護(hù)公眾不被濫用。在實(shí)驗(yàn)和利用之間有一條非常微妙的道德界限。”

　　3.企業(yè)將需要了解人工智能的安全專業(yè)人員

　　SANS研究所的SANS研究員DavidHoelzer表示，“ChatGPT目前風(fēng)靡全球，但就其對(duì)網(wǎng)絡(luò)安全格局的影響而言，我們還僅僅處于起步階段。這標(biāo)志著分界線兩邊采用人工智能/機(jī)器學(xué)習(xí)的新時(shí)代的開(kāi)始，與其說(shuō)是因?yàn)镃hatGPT可以做什么，不如說(shuō)是因?yàn)樗偈谷斯ぶ悄?機(jī)器學(xué)習(xí)成為公眾關(guān)注的焦點(diǎn)。

　　一方面，ChatGPT可以潛在地用于社交工程的民主化，給予缺乏經(jīng)驗(yàn)的威脅行動(dòng)者新的能力，快速輕松地生成借口或騙局，并大規(guī)模部署復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊。

　　另一方面，當(dāng)涉及到創(chuàng)建新穎的攻擊或防御時(shí)，ChatGPT的能力要弱得多。這并不是它的失敗，而是因?yàn)槿藗円笏鲆恍](méi)有接受過(guò)訓(xùn)練的事情。

　　這對(duì)安全專業(yè)人員意味著什么?我們可以安全地忽略ChatGPT嗎?不能。作為安全專業(yè)人員，我們中的許多人已經(jīng)測(cè)試過(guò)ChatGPT，看看它執(zhí)行基本功能的效果。它能寫(xiě)出Pen測(cè)試方案嗎?能寫(xiě)出網(wǎng)絡(luò)釣魚(yú)的借口嗎?如何幫助建立攻擊基礎(chǔ)設(shè)施和C2?到目前為止，其測(cè)試結(jié)果喜憂參半。

　　然而，更大的安全對(duì)話并不與ChatGPT有關(guān)。這是關(guān)于我們目前是否有了解如何構(gòu)建、使用和解釋人工智能/機(jī)器學(xué)習(xí)技術(shù)的安全角色。”

　　4.企業(yè)將需要驗(yàn)證生成式人工智能輸出的內(nèi)容

　　Gartner公司分析師AvivahLitan表示，“在某些情況下，當(dāng)安全人員不能驗(yàn)證其輸出的內(nèi)容時(shí)，ChatGPT造成的問(wèn)題將比它解決的問(wèn)題更多。例如，它將不可避免地錯(cuò)過(guò)一些漏洞的檢測(cè)，并給企業(yè)帶來(lái)一種虛假的安全感。

　　同樣，它也會(huì)錯(cuò)過(guò)被告知的對(duì)網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)，并提供不正確或過(guò)時(shí)的威脅情報(bào)。

　　因此，我們肯定會(huì)在2023年看到，ChatGPT將為遺漏的網(wǎng)絡(luò)攻擊和導(dǎo)致使用它的企業(yè)數(shù)據(jù)泄露的漏洞負(fù)責(zé)。”

　　5.生成式人工智能將升級(jí)現(xiàn)有的威脅

　　RSA公司首席信息安全官RobHughes表示，“就像許多新技術(shù)一樣，我不認(rèn)為ChatGPT會(huì)帶來(lái)新的威脅。我認(rèn)為它對(duì)安全格局的最大改變是擴(kuò)大、加速和增強(qiáng)現(xiàn)有的威脅，特別是網(wǎng)絡(luò)釣魚(yú)。

　　在基本層面上，ChatGPT可以為網(wǎng)絡(luò)攻擊者提供語(yǔ)法正確的釣魚(yú)郵件，這是我們現(xiàn)在不經(jīng)?？吹降那闆r。

　　雖然ChatGPT仍然是一種離線服務(wù)，但網(wǎng)絡(luò)威脅行為者開(kāi)始結(jié)合互聯(lián)網(wǎng)接入、自動(dòng)化和人工智能來(lái)制造持續(xù)的高級(jí)攻擊只是一個(gè)時(shí)間問(wèn)題。

　　有了聊天機(jī)器人，人類就不需要為發(fā)送垃圾郵件編寫(xiě)誘餌。與其相反，他們可以編寫(xiě)一個(gè)腳本，上面寫(xiě)著“使用互聯(lián)網(wǎng)數(shù)據(jù)來(lái)熟悉某某人，并不斷向他們發(fā)送消息，直到他們點(diǎn)擊鏈接。”

　　網(wǎng)絡(luò)釣魚(yú)仍然是網(wǎng)絡(luò)安全漏洞的主要原因之一。讓一個(gè)自然語(yǔ)言機(jī)器人使用分布式魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)工具，同時(shí)在數(shù)百個(gè)用戶的機(jī)器上大規(guī)模工作，將使安全團(tuán)隊(duì)更難完成他們的安全防護(hù)工作。”

　　6.企業(yè)將定義對(duì)ChatGPT使用的期望

　　畢馬威公司網(wǎng)絡(luò)安全服務(wù)負(fù)責(zé)人MattMiller表示，隨著越來(lái)越多的企業(yè)探索和采用ChatGPT，安全性將是首要考慮的問(wèn)題。以下是一些幫助企業(yè)將在2023年搶占先機(jī)的步驟：

　　(1)設(shè)定ChatGPT和類似解決方案在企業(yè)環(huán)境中應(yīng)該如何使用的期望。制定可接受的使用政策;定義所有批準(zhǔn)的解決方案、用例和員工可以依賴的數(shù)據(jù)的列表;并要求進(jìn)行檢查以驗(yàn)證響應(yīng)的準(zhǔn)確性。

　　(2)建立內(nèi)部流程，審查有關(guān)使用認(rèn)知自動(dòng)化解決方案的法規(guī)的影響和演變，特別是知識(shí)產(chǎn)權(quán)、個(gè)人數(shù)據(jù)的管理，以及適當(dāng)?shù)陌菪院投鄻有浴?br />
　　(3)實(shí)施技術(shù)網(wǎng)絡(luò)控制，特別注意測(cè)試代碼的操作彈性和掃描惡意有效載荷。其他控制包括但不限于：多因素身份驗(yàn)證和只允許授權(quán)用戶訪問(wèn);數(shù)據(jù)丟失預(yù)防方案的應(yīng)用確保工具生成的所有代碼都經(jīng)過(guò)標(biāo)準(zhǔn)審查的過(guò)程，并且不能直接復(fù)制到生產(chǎn)環(huán)境中;以及配置網(wǎng)絡(luò)過(guò)濾，以便在員工訪問(wèn)未經(jīng)批準(zhǔn)的解決方案時(shí)發(fā)出警報(bào)。

　　7.人工智能將增強(qiáng)人類的能力

　　ESG公司分析師服務(wù)高級(jí)副總裁和高級(jí)分析師DougCahill表示,“與大多數(shù)新技術(shù)一樣，ChatGPT將成為網(wǎng)絡(luò)攻擊者和防御者的資源，對(duì)抗性用例包括偵察和防御者尋求最佳實(shí)踐以及威脅情報(bào)市場(chǎng)。與其他ChatGPT用例一樣，隨著人工智能系統(tǒng)在已經(jīng)很大且不斷增長(zhǎng)的數(shù)據(jù)語(yǔ)料庫(kù)上進(jìn)行訓(xùn)練，用戶測(cè)試響應(yīng)的保真度也會(huì)有所不同。

　　雖然ChatGPT用例得到廣泛應(yīng)用，但在團(tuán)隊(duì)成員之間共享威脅情報(bào)以進(jìn)行威脅狩獵和更新規(guī)則和防御模型是很有前途的。然而，ChatGPT是人工智能增強(qiáng)(而不是取代)在任何類型的威脅調(diào)查中應(yīng)用場(chǎng)景所需的人為因素的另一個(gè)例子。”

　　8.企業(yè)仍將面臨同樣的原有威脅

　　Acronis公司全球研究副總裁CandidWuest表示，“雖然ChatGPT是一個(gè)強(qiáng)大的語(yǔ)言生成模型，但這項(xiàng)技術(shù)不是一個(gè)獨(dú)立的工具，不能獨(dú)立運(yùn)行。它依賴于用戶輸入，并受限于它所訓(xùn)練的數(shù)據(jù)。

　　例如，該模型生成的釣魚(yú)文本仍然需要從電子郵件賬戶發(fā)送，并指向一個(gè)網(wǎng)站。這些都是可以通過(guò)分析來(lái)幫助檢測(cè)的傳統(tǒng)指標(biāo)。

　　雖然ChatGPT有能力編寫(xiě)漏洞和有效負(fù)載，但測(cè)試表明，這些功能并不像最初建議的那樣好。該平臺(tái)還可以編寫(xiě)惡意軟件，雖然這些代碼已經(jīng)可以在網(wǎng)上和各種論壇上找到，但ChatGPT使它更容易為大眾所接受。

　　然而，其變化仍然有限，這使得基于行為的檢測(cè)和其他方法很容易檢測(cè)到這種惡意軟件。ChatGPT并不是專門(mén)針對(duì)或利用漏洞而設(shè)計(jì)的，但是它可能會(huì)增加自動(dòng)或模擬消息的頻率。它降低了網(wǎng)絡(luò)犯罪分子的準(zhǔn)入門(mén)檻，但不會(huì)為已經(jīng)成立的企業(yè)帶來(lái)全新的攻擊方法。”