ChatGPT自2022年11月30日推出以来,在迄今一个季度的时间内都是全世界的热点话题之一,围绕它的讨论涉及到各个领域。坦率地说,它的确是一个很大的话题,从目前来看,ChatGPT不仅可以完成相对简单的任务(如撰写电子邮件等),还可以完成很复杂的工作(如撰写论文甚至编译代码)。
当然,它并没有强大到出格的地步,至少目前来看,它给了我们惊喜,但仍然是在一个我们所认知的AI范畴之内。我们仍可以看到它并不完美的地方,比如它也会受到误导,从而出现了一些令人啼笑皆非的情况,但即便如此,仍然不会影响包括我们在内的很多人都会将它和其他人工智能的工具视之为互联网应用的未来。那么这款由人工智能和研究公司OpenAI所创造的AI自然语言处理工具对于我们所处的网络安全行业意味着什么呢?
通过查看ChatGPT的服务条款,我们可以清楚地看到OpenAI自身已经意识到它对于安全可能会产生的危害性,比如他们明确设定了禁止利用ChatGPT生成恶意软件,包括勒索软件、键盘记录程序、病毒或其他有意施加某种程度伤害的软件,此外,他们还禁止利用它创建垃圾邮件。通过这些条款能够看出,既然都已经明确要禁止这些恶意行为,那么就代表这些行为是可以通过利用ChatGPT去实现的。
就和其他能够流行的网络技术一样,在这三个月的时间内,已经开始有人在尝试如何利用ChatGPT去达成一些阴险的目的。
比如在ChatGPT推出后不久,一些不法黑客就已经在地下论坛上讨论如何利用ChatGPT来促进恶意活动的开展,其中最主要的两类就是前文所说的撰写钓鱼电子邮件和编写恶意软件。这些的确值得令人担心,因为最近这类工具实在太多了,包括谷歌的Bard,甚至中国也是藏龙卧虎,如讯飞公开表示拥有类似技术,并会在2023年5月推出相关产品,尽管这些人工智能工具不会彻底改变网络攻击的方式,但它们仍然可以帮助攻击者更有效的展开恶意活动,哪怕这并非是这些工具创造者的本意。
在我们看来,在短期内也许还不用特别担心,ChatGPT还不会那么快的被利用创造出全新的攻击类型,因此更应关注现有的主流攻击方式通过ChatGPT可以促进哪些方面,比如用以提高发起攻击活动的效率。
这里我们以网络钓鱼攻击为例,作为最常见的网络攻击类型,它经常被用以传播恶意软件、恶意链接等,电子邮件和社交媒体则是主要载体,也是攻击者在得手之后与受害者沟通的关键工具。
一次成功的网络钓鱼攻击离不开高度拟真的内容,而要想达到更多获利或其他恶意目的,就必须在相对稳定的成功率之上进一步扩大攻击范围,这就对内容产生了巨大的需求。虽然很多组织都已经安装了反钓鱼的设备或针对员工进行了相关培训,但如果钓鱼的内容被制作得非常真实,它仍然会有很大概率收获“成功”,哪怕是已经被识别为垃圾邮件,都有可能被受害者从废件箱中捞出来。
这个时候,ChatGPT这种工具就可以发挥出一定的优势,从攻击者的角度看,它是一个高效的自动化文案产出工具,而且内容要比攻击者自己编写的更加真实。
为什么会这样呢?网络犯罪在当前已经发展成为一个全球性的产业,就和其他商业一样,各个国家的不法黑客都会像世界各地的现在目标发送钓鱼邮件或信息,毫无疑问,语言成为了一个最大的问题,试想一下,中文作为全球难度最大的语言之一,如果一个非洲黑客小伙想钓咱们的鱼,还会费劲去学中文吗?肯定不会,即便是希望通过那些在线翻译平台把将其他语言翻译成中文,然后发给咱们的企业员工,那成功率会高吗?想想我们平时用那些翻译软件翻译出来那些奇奇怪怪的语言,真的会让目标人群觉得是自己的领导或是同事发的吗?如果他毫不气馁,那么就只能雇佣一个懂中文的人为他工作,但人工做这个事情,效率是一回事,成本又是一回事,因此,光是语言的问题就有可能会让一些攻击者放弃。
但现在不一样了,ChatGPT这种人工智能产品的确让我们看到在这方面更大的进步,我们可以看到,只要正确利用这些人工智能工具,那么可以为攻击者想要的任何语言为去为钓鱼邮件或信息撰写文案,而且可读性非常强。因此,ChatGPT的出现,从某种角度看也是为攻击者提供了“降本增效”的路径,这就足够可怕了。
事实上,像OpenAI这类人工智能工具的创造者也会针对这些问题去设置一些保护措施,除了那些文字上的服务条款之外,比如在注册方面,除了要求电子邮件之外,还必须要通过手机验证,这种方式虽然不能彻底解决问题,多少也是提高一些门槛,但也仅仅是不高的门槛而已,尽管ChatGPT会拒绝编写一封钓鱼邮件,但可以用来制作一些看起来正常的消息,比如企业内部所使用的应用必须要下载安装重要的软件更新,或者放假通知需要查看附件等等,这些都是看起来都是很正常的消息就令攻击者利用,毕竟语言上已经不再是主要问题了。
除了电子邮件之外,攻击者也可以做得更深入一些,比如创建一个社交主页,通过利用ChatGPT去编写内容,添加个人资料,并持续地添加内容信息,而且不是那种昨天去哪儿玩,今天去哪儿吃的东西,更不是卖茶叶,而是正经的商业内容,沉淀一些时日之后,就会让人们相信它就是属于一个企业的高层人物,于是,假的变成了真的。这的确是一个耗时的工程,但它更容易让人们对其深信不疑,从而令诈骗活动的成功率更高。
上述两个例子都是ChatGPT类型的工具可以为攻击者给予帮助的案例,单纯从这一角度看,它的确为网络安全带来的一些挑战,每当有新的技术或其新事物的出现,总会有人试图利用它去打到某些恶意的目的,即便是用更创新的方法去阻止滥用,那些网络犯罪分子也会竭力去找到绕开这些防护的方法,还是那句大家都听到耳朵起茧的话——网络安全的本质就是攻防对抗。
大家都很清楚,没有任何方法将各个事物的风险完全消除到零,但去谈论并强调这些潜在的网络安全问题,有利于令大家对关于如何防止类似于ChatGPT这种人工智能工具被用于恶意目的的讨论,我们相信,这种讨论最终也会带动一些舆论,让更多的人关注这些新兴技术本身所存在的风险,从而推动安全性的提升——当大家越来越多地讨论ChatGPT被滥用可能会造成的恶果时,就越有可能让OpenAI去掂量掂量ChatGPT的安全问题,从而就越有可能投入力量用以减少其被滥用的可能性,从而最终推动这一人工智能工具安全性的提升。
当然,说了那么多的不好,其实ChatGPT对网络安全其实也有一些好处,比如它对代码的理解能力应是很强大的,那么理论上也是可以帮助研发人员在开发软件、应用时,用更好、更安全的代码去加速开发过程,另外,在识别恶意代码方面、生成安全事件报告等诸多方面也应可以发挥出更大的作用,当然,AI用于安全工作这件事情本身并不新鲜,但当ChatGPT这类工具出现后,他们对于这类工作有多大的促进是值得关注的。先不论AI+安全未来的空间到底有多到,AI工具哪怕是能够通过前述那些工作去帮助安全团队提升效率,也足以值得为之兴奋了,那意味着可以解放出更多的生产力去关注其他更重要的安全问题。
至少在当前我们仍很难判断,因为这个结果并不取决于它自己,就像任何新技术、新场景的出现一样,既带来了新的突破,也会带来新的风险,更重要的在于,工具本身并没有绝对的对或错,关键是在于利用它的人。
“ChatGPT有什么规则去防止为网络钓鱼所滥用?”当一个记者将这个问题发给ChatGPT时,所得到的回答是这样的:“虽然像ChatGPT这样的人工智能语言模型可以生成类似于钓鱼邮件的文本,但它们不能自己执行恶意行为,需要用户自身的意图和做出的行为才能造成伤害。因此,对于用户来说,在使用人工智能技术时保持谨慎和良好的判断力,并对网络钓鱼和其他恶意活动保持警惕是很重要的。”
看,ChatGPT和我们有着一样的想法。