ChatGPT：恶意软件之外的网络安全新挑战

ChatGPT 的发布可谓“一石激起千层浪” ， 尤其对网络安全行业产生了巨大的影响。ChatGPT 能写代码，能切换代码的编程语言，甚至还能写恶意软件。ChatGPT 偶尔会给出连贯的废话，但总体而言还是实用的。

在最新一次更新中，当ChatGPT发现有人企图用 API 开发恶意代码时，会拒绝恶意软件请求，或相应给出安全提示。然而，技术达人很快就找到了“越狱”方法，继续利用 ChatGPT 做坏事。

虽然 ChatGPT 能帮助使用者通过医学考试或部分资格考试，那么在网络安全的场景中，它也可以协助“攻击者”和“防御者”的工作——甚至不用写任何代码。以下是我们整理的一些场景聚焦， ChatGPT 帮助人类的方式，并不考虑意图。 

攻击者场景

• 网络钓鱼。企图改进钓鱼邮件。写一封厉害的钓鱼邮件既需要艺术也需要科学。而 ChatGPT 为此提供了一种新支持：程序化。ChatGPT 擅长基于提示性行动创建文本。好的钓鱼邮件需要足够好的沟通技巧，这对攻击者来说是挑战。然而，攻击者（以及网络钓鱼模拟厂商）可借助 ChatGPT 的文本生成能力来完善和提高邮件库，他们用ChatGPT生成海量邮件并从中挑出最有效的——类似于市场营销团队的 A/B 测试，然后再从中选出最好的邮件。

• 网络钓鱼网站。 策划假冒网站以欺骗更多用户。当 Stable Diffusion 遇上 ChatGPT，攻击者仿造流行图片、商标和网站变得前所未有的容易。回想一下我们点开邮件时看到的网络钓鱼网站，攻击者今天之所以能够使用它们是因为有人在创建它们。ChatGPT 为攻击者提供了一条创建网站和假冒网站的捷径，而这些假冒网站在用户看来更像是真的。与之类似，生成式 AI 的图片和语言能力降低了门槛，让攻击者有机会改进。

• API 攻击。 我们尚未看到任何这方面的特定测试，但我们发现了一种有趣的方式，即要求 ChatGPT 检查 API 文档，确认并找出潜在攻击路径。虽然 API 攻击经常利用未授权的活动或意外活动，但它与恶意软件完全不同。使用 ChatGPT 的能力来生成查询，聚合 API 信息，并以可能的方式辅助创建可能被恶意使用的有效 API 查询，这是一种有吸引力的利用方式。

• 报告。 渗透测试人员、事件响应人员和安全运营中心（Security Operations Center，简称SOC）分析师面临的一个艰巨任务是，编写成功测试、攻击和事件报告。ChatGPT 能够大大节省这些报告的制作时间。节省下来的时间则可用于完成其他工作，如测试、评估、调查和响应，而所有这些都有助于安全团队进行扩展。这些内容可以实时或与调查同步进行，这也是个亮点。

• 推荐。 今天的机器人已经能够在一定程度上提供潜在响应行动（或最佳行动）建议，但我们的大部分机器学习能力都侧重于优化检测而非响应。标准配置的机器学习能够创建推荐引擎，而 ChatGPT 能够创建情境，不但可以指导 SOC 分析师完成所推荐的行动，而且让他们知道为什么这种行动是基于可用数据的下一最佳行动。如果安全编排、自动化和响应的正确建立能够加速工件检索，那它也可能加速检测和响应，进而帮助 SOC 分析师更好地做决策。这将极大惠及分析师体验。