ChatGPT是OpenAI 发布的基于人工智能的对话机器人,上线短短2个月活跃用户就突破了1亿,成为全球关注的焦点。ChatGPT可以自动化地处理对话,可以通过基于自然语言处理技术的模型、情景模型和语言模型来自动生成文章,甚至可以按照用户的要求编写代码。**那么ChatGPT会对网络安全行业带来哪些影响呢?**接下来我们将通过系列文章,分别从"攻"、"防"、ChatGPT的不足以及安全领域的应用建议等方面来分析ChatGPT在网络安全领域的作用。
本篇将从"攻"的视角
看看ChatGPT制作网络攻击工具的能力
让ChatGPT生成钓鱼邮件
能力指数:★★★★☆****
我们让ChatGPT来生成一封以"疫情防护"为主题的中文钓鱼邮件。
ChatGPT采用"以假乱真"的策略,以防患钓鱼邮件的主题来诱惑用户点击钓鱼链接,这种诱导性的话术令人咋舌。
结论
ChatGPT可以说是一名钓鱼邮件专家,综合评价:★★★★。它具有自然语言理解和自我训练的能力,可以从网络或现实世界学习文本,并生成许多不同类型的钓鱼邮件,诱导用户点击。
让ChatGPT生成恶意代码,
能力指数:★★★☆☆
第一步,小试牛刀:"两数之和"编程ChatGPT生成代码的前提是对于代码实现功能的深刻理解,为了验证ChatGPT的编程能力,我在LeetCode上选择了一个two sum的经典双指针编程题目,观察它的实现情况。
提交后可以看到它的代码完全正确,并击败了96.7%的用户。
我怀疑ChatGPT这个老六"不讲武德",抄袭了某个GitHub的答案。因为它给出的函数名居然和LeetCode的一模一样。
第二步,高难度算法编程挑战为了进一步验证,我又找了一个无法轻易找到源码的背包类动态规划算法编程题。
经过分析发现,ChatGPT给出的动态规划代码有一处错误 ,那就是: dp[i][j] = max(dp[i-1][j],dp[i-1][j-A[i-1]] + V[i-1]) 应改为dp[i][j] = max(dp[i-1][j],dp[i][j-A[i-1]] + V[i-1]) ,只需要稍微改动,即可实现正常运行。尽管有一点小小的瑕疵,但是ChatGPT已经做到了很不错的水平!第三步,让ChatGPT **生成恶意代码**1.首先,让ChatGPT生成PHP一句话木马。
这个一句话木马很熟悉吧,它完全可以正常工作。2.我们继续让它生成一些高阶的包含base64_decode函数的WebShell。
是不是有种被拿捏的感觉!!!我们再让其生成各种变形WebShell,ChatGPT仍能轻松应对。
3.众所周知,检测加密WebShell是WebShell检测的一大挑战,我们尝试让其生成基于PHP编写的加密WebShell。
ChatGPT提供的后门代码,只要更改秘钥$key即可使用。ChatGPT 能够一键生成常见网络攻击脚本 ,这让我们网络防御工作者既惊叹不已,又深感忧虑,因为它大大降低了网络攻击的门槛。第四步,让ChatGPT 生成勒索软件
可以看到,上面的代码完全能够正常运行。为了能够实现免杀,我们试着问ChatGPT:
它的回答非常全面,令人印象深刻。但对复杂的编译语言恶意样本,尤其对于隐蔽性、高对抗性、反调试性等高级要求,则ChatGPT能力相对不足,只能给出相关知识。
结论
ChatGPT恶意代码生成能力尤其是脚本能力突出,但高阶的对抗型样本生成略显不足,综合评分:★★★。那么是什么原因让ChatGPT的代码生成能力如此突出呢?1.ChatGPT的代码生成原理:ChatGPT通过利用大量的代码和文本混合数据进行训练,来达到创造出新的有效代码以及恶意代码的能力。其中,所训练的数据包括CSDN、Stack Over Flow、GitHub等网站收集的数据。
2.ChatGPT准确理解用户的对话意图原理:ChatGPT是基于Transformer模型的语言模型,核心算法是基于双向语言模型(BiLM)和注意力机制(Attention)的Transformer模型。Transformer模型可以产生语义上更准确的响应,而注意力机制可以更加准确地理解用户输入,从而更好地回应用户问题。
利用ChatGPT辅助测试和开发
水能覆舟,亦能载舟。对于渗透测试人员和BAS类安全产品开发人员,ChatGPT可以帮助生成单元测试代码或渗透测试的脚本,省掉不少苦力活。例如:
结语
ChatGPT的出现,使得网络安全攻击变得更容易,这给企业带来了极大的风险。ChatGPT利用黑客的知识和技术,通过钓鱼邮件和恶意代码生成等手段来降低攻击成本,使黑客可以更容易地攻击企业的网络。在网络安全的攻防对抗模式下,以智能对抗智能是未来发展的方向。