近期，OpenAI發(fā)布了聊天機(jī)器人ChatGPT，因其強(qiáng)大的能力因其了人們的廣泛關(guān)注，甚至許多人認(rèn)為世界開(kāi)始發(fā)生了變化。

如果學(xué)生可以讓ChatGPT為他們寫(xiě)論文，那么大學(xué)生們肯定會(huì)爭(zhēng)先恐后地想出如何利用這款A(yù)I工具來(lái)完成學(xué)業(yè)。因?yàn)?，我們已?jīng)看到ChatGPT通過(guò)了法學(xué)院考試、商學(xué)院考試，甚至是行醫(yī)執(zhí)照考試。全球各地的員工開(kāi)始使用它來(lái)撰寫(xiě)電子郵件、報(bào)告，甚至編寫(xiě)計(jì)算機(jī)代碼。

不過(guò)，目前ChatGPT并不完美，其數(shù)據(jù)庫(kù)也不是最新的，但它比普通人以前接觸過(guò)的任何人工智能系統(tǒng)都要強(qiáng)大，用戶(hù)體驗(yàn)也比企業(yè)級(jí)系統(tǒng)的人工智能更加友好。

似乎一旦像ChatGPT這樣的大型語(yǔ)言模型變得足夠大，并且在其神經(jīng)網(wǎng)絡(luò)中擁有足夠的訓(xùn)練數(shù)據(jù)、足夠的參數(shù)和足夠的層，奇怪的事情就會(huì)開(kāi)始發(fā)生。它發(fā)展了在較小模型中不明顯或不可能的“特性”。換句話說(shuō)，它開(kāi)始表現(xiàn)得好像它擁有常識(shí)和對(duì)世界的理解——或者至少是某種近似于這些東西的東西。

通過(guò)近期的新聞，我們可以看到各大科技公司爭(zhēng)先恐后地做出反應(yīng)。微軟向OpenAI投資了100億美元，并為 Bing添加了ChatGPT功能，從而使得沉寂了很久了的搜索引擎再次成為話題。

谷歌也宣布了自己的AI聊天機(jī)器人計(jì)劃，并投資了OpenAI的競(jìng)爭(zhēng)對(duì)手Anthropic，后者由前OpenAI員工創(chuàng)立，并擁有自己的聊天機(jī)器人Claude。

亞馬遜宣布計(jì)劃建立自己的ChatGPT競(jìng)爭(zhēng)對(duì)手，并宣布與另一家人工智能初創(chuàng)公司Hugging Face建立合作伙伴關(guān)系。Facebook的Meta也將快速跟進(jìn)自己的AI工作計(jì)劃。

與此同時(shí)，幸運(yùn)的是，安全專(zhuān)家也可以使用這項(xiàng)新技術(shù)。他們可以將其用于研究、幫助編寫(xiě)電子郵件和報(bào)告、幫助編寫(xiě)代碼，以及我們將深入研究的更多方式。

但令人不安的是，壞人也將它用于所有這些事情，以及網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程。他們還使用ChatGPT來(lái)幫助他們以幾個(gè)月前無(wú)法想象的規(guī)模和保真度來(lái)制造深度造假。ChatGPT 本身也可能是一種安全威脅。

接下來(lái)，讓我們討論這些AI工具可能對(duì)數(shù)據(jù)中心帶來(lái)的安全主題，從惡意行為者可能使用的方式開(kāi)始，在某些情況下，他們已經(jīng)在使用ChatGPT。然后，我們將探討網(wǎng)絡(luò)安全專(zhuān)業(yè)人員使用ChatGPT 等人工智能工具的好處和危險(xiǎn)。

壞人如何使用 ChatGPT

毫無(wú)疑問(wèn)，惡意行為者已經(jīng)在使用ChatGPT。那么，ChatGPT將如何用于幫助刺激網(wǎng)絡(luò)攻擊呢。在2 月份發(fā)布的黑莓 IT 領(lǐng)導(dǎo)者調(diào)查中，53% 的受訪者表示它將幫助黑客創(chuàng)建更可信的網(wǎng)絡(luò)釣魚(yú)電子郵件，49%的受訪者指出它有能力幫助黑客提高他們的編碼能力。

調(diào)查的另一項(xiàng)發(fā)現(xiàn)：49%的IT和網(wǎng)絡(luò)安全決策者表示，ChatGPT將用于傳播錯(cuò)誤信息和虛假信息，48%的人認(rèn)為它可用于制作全新的惡意軟件。另有46%的受訪者表示ChatGPT可以幫助改善現(xiàn)有攻擊。

Constellation Research副總裁兼首席分析師Dion Hinchcliffe表示：“我們看到編碼人員，甚至是非編碼人員使用ChatGPT生成可以有效利用的漏洞。”

畢竟，人工智能模型已經(jīng)閱讀了所有公開(kāi)發(fā)表的內(nèi)容。包括“每一份研究漏洞報(bào)告，”Hinchcliffe說(shuō)，“所有安全專(zhuān)家的每一次論壇討論。它就像一個(gè)超級(jí)大腦，可以用各種方式破壞系統(tǒng)?！?/p>

這是一個(gè)可怕的前景。

而且，當(dāng)然，攻擊者也可以用它來(lái)寫(xiě)作，他補(bǔ)充說(shuō)?！拔覀儗⒈粊?lái)自各地的錯(cuò)誤信息和網(wǎng)絡(luò)釣魚(yú)內(nèi)容所淹沒(méi)?！?/p>

ChatGPT如何幫助數(shù)據(jù)中心安全專(zhuān)家

對(duì)于使用ChatGPT的數(shù)據(jù)中心網(wǎng)絡(luò)安全專(zhuān)業(yè)人員而言，云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示，他在過(guò)去幾周內(nèi)看到了一些令人難以置信的AI工具病毒式實(shí)驗(yàn)。

“你可以看到它為安全編排、自動(dòng)化和響應(yīng)工具、DevSecOps和一般云容器衛(wèi)生編寫(xiě)了大量代碼，”他說(shuō)?！癈hatGPT生成了大量的安全和隱私政策。也許，最值得注意的是，為了創(chuàng)建高質(zhì)量的釣魚(yú)電子郵件，我們進(jìn)行了很多測(cè)試，希望使我們的防御在這方面更具彈性?！?/p>

此外，Reavis 說(shuō)，幾家主流網(wǎng)絡(luò)安全供應(yīng)商在他們的引擎中已經(jīng)或?qū)⒑芸鞊碛蓄?lèi)似的技術(shù)，并根據(jù)特定規(guī)則進(jìn)行訓(xùn)練。

“我們之前也看到過(guò)具有自然語(yǔ)言界面功能的工具，但還沒(méi)有一個(gè)廣泛開(kāi)放的、面向客戶(hù)的ChatGPT界面，”他補(bǔ)充道?！拔蚁Ｍ芸炷芸吹脚cChatGPT接口的商業(yè)解決方案，但我認(rèn)為現(xiàn)在的最佳點(diǎn)是多種網(wǎng)絡(luò)安全工具與ChatGPT的系統(tǒng)集成以及公共云中的DIY安全自動(dòng)化?！?/p>

他表示，總的來(lái)說(shuō)，ChatGP 及其同行很有希望幫助數(shù)據(jù)中心網(wǎng)絡(luò)安全團(tuán)隊(duì)更高效地運(yùn)作，擴(kuò)大受限資源并識(shí)別新的威脅和攻擊。

“隨著時(shí)間的推移，幾乎所有網(wǎng)絡(luò)安全功能都將通過(guò)機(jī)器學(xué)習(xí)得到增強(qiáng)，”Reavis說(shuō)?！按送?，我們知道惡意行為者正在使用諸如ChatGPT之類(lèi)的工具，并且假設(shè)您將需要利用A 來(lái)對(duì)抗惡意AI。”

電子郵件安全供應(yīng)商如何使用 ChatGPT

例如，電子郵件安全供應(yīng)商Mimecast已經(jīng)在使用大型語(yǔ)言模型生成合成電子郵件來(lái)訓(xùn)練自己的網(wǎng)絡(luò)釣魚(yú)檢測(cè)AI工具。

“我們通常使用真實(shí)的電子郵件來(lái)訓(xùn)練我們的模型，”Mimecast首席數(shù)據(jù)科學(xué)家兼機(jī)器學(xué)習(xí)工程師洛佩茲(Jose Lopez)說(shuō)。

為訓(xùn)練集創(chuàng)建合成數(shù)據(jù)是ChatGPT等大型語(yǔ)言模型的主要優(yōu)勢(shì)之一?！艾F(xiàn)在我們可以使用這種大型語(yǔ)言模型來(lái)生成更多電子郵件，”洛佩茲說(shuō)。

不過(guò)，他拒絕透露Mimecast使用的是哪種特定的大型語(yǔ)言模型。他說(shuō)這些信息是公司的“秘密武器”。

不過(guò)，Mimecast目前并不打算檢測(cè)傳入的電子郵件是否由ChatGPT生成。那是因?yàn)槭褂肅hatGPT的不僅僅是壞人。AI是一種非常有用的生產(chǎn)力工具，許多員工正在使用它來(lái)改進(jìn)他們自己的、完全合法的通信。

例如，洛佩茲本人是西班牙人，現(xiàn)在正在使用ChatGPT而不是語(yǔ)法檢查器來(lái)改進(jìn)自己的寫(xiě)作。

Lopez還使用ChatGPT來(lái)幫助編寫(xiě)代碼——許多安全專(zhuān)業(yè)人員可能正在做的事情。

“在我的日常工作中，我每天都使用 ChatGPT，因?yàn)樗鼘?duì)編程真的很有用，”洛佩茲說(shuō)。“有時(shí)它是錯(cuò)誤的，但它經(jīng)常是正確的，足以讓你對(duì)其他方法敞開(kāi)心扉。我不認(rèn)為ChatGPT會(huì)將沒(méi)有能力的人轉(zhuǎn)變?yōu)槌?jí)黑客?！?/p>

人工智能驅(qū)動(dòng)的安全工具的興起

OpenAI已經(jīng)開(kāi)始致力于提高系統(tǒng)的準(zhǔn)確性。微軟通過(guò)Bing Chat使其能夠訪問(wèn)網(wǎng)絡(luò)上的最新信息。

Lopez補(bǔ)充說(shuō)，下一個(gè)版本將在質(zhì)量上有一個(gè)巨大的飛躍。此外，ChatGP 的開(kāi)源版本即將推出。

“在不久的將來(lái)，我們將能夠針對(duì)特定的事物微調(diào)模型，”他說(shuō)。“現(xiàn)在你不只是有一把錘子——你有一整套工具?！?/p>

例如，企業(yè)可以微調(diào)模型以監(jiān)控社交網(wǎng)絡(luò)上的相關(guān)活動(dòng)并尋找潛在威脅。只有時(shí)間才能證明結(jié)果是否比目前的方法更好。

將ChatGPT添加到現(xiàn)有軟件也變得更容易、更便宜;3 月 1 日，OpenAI發(fā)布了一個(gè)API，供開(kāi)發(fā)人員訪問(wèn) ChatGPT 和語(yǔ)音轉(zhuǎn)文本模型Whisper。

一般來(lái)說(shuō)，企業(yè)正在迅速采用人工智能驅(qū)動(dòng)的安全工具來(lái)應(yīng)對(duì)比以往任何時(shí)候都更大規(guī)模的快速演變的威脅。

根據(jù)最新的Mimecast 調(diào)查，92%的企業(yè)已經(jīng)在使用或計(jì)劃使用人工智能和機(jī)器學(xué)習(xí)來(lái)加強(qiáng)其網(wǎng)絡(luò)安全。

特別是，50%的人認(rèn)為使用它可以更準(zhǔn)確地檢測(cè)威脅，49%的人認(rèn)為可以提高阻止威脅的能力，48%的人認(rèn)為可以在發(fā)生攻擊時(shí)更快地進(jìn)行補(bǔ)救。

81%的受訪者表示，向電子郵件和協(xié)作工具用戶(hù)提供實(shí)時(shí)、上下文警告的人工智能系統(tǒng)將是一個(gè)巨大的福音。

報(bào)告稱(chēng)：“12%的人甚至表示，這種系統(tǒng)的好處將徹底改變網(wǎng)絡(luò)安全的實(shí)施方式?！?/p>

Omdia網(wǎng)絡(luò)安全實(shí)踐高級(jí)分析師Ketaki Borade表示，像ChatGPT這樣的人工智能工具也可以幫助縮小網(wǎng)絡(luò)安全技能短缺的差距?！叭绻_提供提示，使用此類(lèi)工具可以加快更簡(jiǎn)單的任務(wù)，并且有限的資源可以專(zhuān)注于更具有時(shí)間敏感性和高優(yōu)先級(jí)的問(wèn)題?！?/p>

“這些大型語(yǔ)言模型是一種根本性的范式轉(zhuǎn)變，”IEEE成員、Applied Science Group創(chuàng)始人兼首席執(zhí)行官 Yale Fox說(shuō)?！胺磽魫阂釧I驅(qū)動(dòng)攻擊的唯一方法是在防御中使用AI。數(shù)據(jù)中心的安全經(jīng)理需要提高現(xiàn)有網(wǎng)絡(luò)安全資源的技能，并尋找專(zhuān)門(mén)從事人工智能的新人員。”

在數(shù)據(jù)中心使用ChatGPT的危險(xiǎn)

如前所述，ChatGPT和Copilot等人工智能工具可以幫助安全專(zhuān)業(yè)人員編寫(xiě)代碼，從而提高他們的效率。但是，根據(jù)康奈爾大學(xué)最近的研究，使用 AI 助手的程序員更有可能創(chuàng)建不安全的代碼，同時(shí)認(rèn)為它比那些沒(méi)有使用的人更安全。

在不考慮風(fēng)險(xiǎn)的情況下使用ChatGPT的潛在缺點(diǎn)時(shí)，這只是冰山一角。

有幾個(gè)廣為人知的ChatGPT或Bing Chat實(shí)例，它們非常自信地提供不正確的信息，編造統(tǒng)計(jì)數(shù)據(jù)和引述，或者對(duì)特定概念提供完全錯(cuò)誤的解釋。

盲目信任它的人最終可能會(huì)陷入非常糟糕的境地。

“如果你使用ChatGPT開(kāi)發(fā)的腳本對(duì)10000臺(tái)虛擬機(jī)進(jìn)行維護(hù)并且腳本存在錯(cuò)誤，你將遇到重大問(wèn)題，”云安全聯(lián)盟的Reavis說(shuō)。

數(shù)據(jù)泄露風(fēng)險(xiǎn)

數(shù)據(jù)中心安全專(zhuān)業(yè)人員使用ChatGPT的另一個(gè)潛在風(fēng)險(xiǎn)是數(shù)據(jù)泄露。

OpenAI讓ChatGPT免費(fèi)的原因是它可以從與用戶(hù)的交互中學(xué)習(xí)。因此，例如，如果您要求ChatGPT分析您的數(shù)據(jù)中心的安全狀況并找出薄弱環(huán)節(jié)，那么您現(xiàn)在已經(jīng)向ChatGPT傳授了您的所有安全漏洞。

現(xiàn)在，考慮一下面向工作的社交網(wǎng)絡(luò)Fishbowl 在 2 月份進(jìn)行的一項(xiàng)調(diào)查，該調(diào)查發(fā)現(xiàn) 43% 的專(zhuān)業(yè)人士在工作中使用 ChatGPT 或類(lèi)似工具，高于一個(gè)月前的 27%。如果他們這樣做，70%的人不會(huì)告訴他們的老板。因此，潛在的安全風(fēng)險(xiǎn)很高。

據(jù)報(bào)道，這就是摩根大通、亞馬遜、Verizon、埃森哲和許多其他公司禁止其員工使用該工具的原因。

OpenAI本月發(fā)布的新ChatGPT API將允許企業(yè)將其數(shù)據(jù)保密并選擇不將其用于訓(xùn)練，但不能保證不會(huì)發(fā)生任何意外泄漏。

將來(lái)，一旦ChatGPT的開(kāi)源版本可用，數(shù)據(jù)中心將能夠在其防火墻后、在本地運(yùn)行它，避免可能暴露給外部人員。

倫理問(wèn)題

最后，Insight的杰出工程師Carm Taglienti表示，使用ChatGPT式技術(shù)來(lái)保護(hù)內(nèi)部數(shù)據(jù)中心安全存在潛在的道德風(fēng)險(xiǎn)。

“這些模型非常擅長(zhǎng)理解我們作為人類(lèi)的交流方式，”他說(shuō)。因此，可以訪問(wèn)員工通信的 ChatGPT 式工具可能能夠發(fā)現(xiàn)表明潛在威脅的意圖和潛臺(tái)詞。

“我們正在努力防止網(wǎng)絡(luò)黑客攻擊和內(nèi)部環(huán)境黑客攻擊。許多違規(guī)行為的發(fā)生是因?yàn)槿藗儙е鴸|西走出門(mén)外，”他說(shuō)。

他補(bǔ)充說(shuō)，像 ChatGPT 這樣的東西“對(duì)一個(gè)組織來(lái)說(shuō)可能非常有價(jià)值”?！暗F(xiàn)在我們正在進(jìn)入這個(gè)道德領(lǐng)域，人們將在這個(gè)領(lǐng)域?qū)ξ疫M(jìn)行介紹并監(jiān)控我所做的一切。”

這是數(shù)據(jù)中心可能還沒(méi)有準(zhǔn)備好迎接少數(shù)派報(bào)告式的未來(lái)。