漕文華

近日，OpenAI公司再次發(fā)布了ChatGPT的升級版GPT-4，引起了行業(yè)巨大的關(guān)注。GPT-4不僅在此前純文本輸入基礎(chǔ)上，增加了圖像輸入，而且在AI能力上也有了巨大提升，例如GPT-4通過模擬美國律師資格考試，分數(shù)在應(yīng)試者的前10 %以內(nèi)；而GPT-3.5的得分僅在90 %左右。就行業(yè)普遍關(guān)注的安全性問題，GPT-4也進行了相關(guān)的能力迭代，對類似“如何制造炸彈”這樣的問題，GPT-4給出了“拒絕提供建議”的回答。據(jù)OpenAI公司介紹：與GPT-3.5相比，GPT-4對不合規(guī)提問請求的響應(yīng)傾向降低了82 %。

但研究人員在實際測試中發(fā)現(xiàn)，GPT-4仍然存在回答錯誤或違反法規(guī)的情況，并且會犯簡單的推理錯誤，對明顯的虛假性陳述過于輕信。而在通過GPT-4生成的程序代碼中，安全人員仍然能夠發(fā)現(xiàn)安全漏洞。各種跡象表明，ChatGPT對網(wǎng)絡(luò)安全領(lǐng)域的潛在影響尚難以定論，仍然需要進一步的觀察和判斷。

國外專業(yè)媒體機構(gòu)VentureBeat采訪了8位資深的網(wǎng)絡(luò)安全專家，聽取了他們對和類似AI工具應(yīng)用安全性的預(yù)測。專家們普遍認為：盡管生成式AI技術(shù)會降低網(wǎng)絡(luò)犯罪的進入門檻，升級企業(yè)現(xiàn)有的風(fēng)險態(tài)勢，但是并不會給企業(yè)帶來新的安全威脅。通過配置具備AI知識素養(yǎng)的專職安全人員，企業(yè)可以有效應(yīng)對ChatGPT應(yīng)用中的安全挑戰(zhàn)。

McAfee高級副總裁兼首席技術(shù)官Steve Grobman

與任何新興技術(shù)一樣，ChatGPT的廣泛應(yīng)用也是機遇和挑戰(zhàn)并存的，它可以被各種人員使用，企業(yè)組織和安全社區(qū)必須對其被利用的方式保持警惕和關(guān)注。ChatGPT具有的強大AI能力無疑會降低網(wǎng)絡(luò)犯罪的準入門檻，使很多沒有經(jīng)驗的攻擊者也能夠快速掌握復(fù)雜的攻擊技術(shù)，甚至批量生成用于攻擊的代碼，并有效避開現(xiàn)有的安全防護措施。因為這些代碼本身并無惡意，但卻被攻擊者用于投放危險內(nèi)容，這也使得安全防護工作變得更有挑戰(zhàn)性。

麥肯錫咨詢業(yè)務(wù)合伙人Justin Greis

與任何可能帶來危害的新技術(shù)創(chuàng)新一樣，企業(yè)組織在將ChatGPT應(yīng)用于實際工作之前，必須落實好相關(guān)的安全護欄和保護措施，以保護這些工具不被惡意濫用。在技術(shù)創(chuàng)新和惡意濫用之間始終需要有一條很微妙的道德界線。

目前，已經(jīng)有許多例子表明，ChatGPT可以幫助惡意攻擊者制作更具欺騙性的網(wǎng)絡(luò)釣魚郵件和惡意代碼腳本，發(fā)動更具威脅的攻擊，甚至可以幫助攻擊者更準確地查詢到用戶的弱點和漏洞。企業(yè)組織需要研究部署合適的控制措施，來應(yīng)對每一種可能的濫用場景。這其實就是網(wǎng)絡(luò)安全的本質(zhì)特點：攻防雙方一直在動態(tài)變化的對抗博弈中發(fā)展與演進。

SANS研究所高級研究員David Hoelzer

ChatGPT已經(jīng)風(fēng)靡全球，但其對網(wǎng)絡(luò)安全界的影響，我們的認知還處于起步階段。ChatGPT標志著人類對AI技術(shù)的采用開始進入新時代，它提升了公眾對AI安全性的關(guān)注。這對安全專業(yè)人員意味著什么？一方面，我們看到ChatGPT可用于發(fā)起更大規(guī)模的社會工程攻擊，讓缺乏經(jīng)驗的威脅分子能夠迅速輕松地生成迷惑性騙局；另一方面，在開展相關(guān)的安全建設(shè)時，不能忽視ChatGPT。許多安全專業(yè)人員已經(jīng)測試過ChatGPT，例如執(zhí)行基本的安全檢查任務(wù)、編寫滲透測試方案、建立安全響應(yīng)流程等，到目前為止，測試的結(jié)果喜憂參半。對于企業(yè)而言，應(yīng)用ChatGPT等AI工具最大的安全挑戰(zhàn)不在于這些工具本身，而是組織中是否有能夠充分了解如何構(gòu)建、使用和管理AI技術(shù)的專業(yè)安全人員。

Acronis全球研究副總裁Candid Wuest

雖然ChatGPT是功能強大的AI生成式工具模型，但這項技術(shù)不是獨立的工具，也無法獨立運行。它依賴用戶輸入，并受制于訓(xùn)練它的數(shù)據(jù)。比如說，該模型生成的釣魚文本仍需要從郵件賬戶發(fā)送，并指向某個具體的目標網(wǎng)站，這些都是可以加以分析并幫助檢測威脅的信息。

雖然ChatGPT也能夠編寫漏洞利用的代碼和載荷，但目前的測試表明，其功能并不像最初設(shè)想的那么可怕，這些代碼已經(jīng)在互聯(lián)網(wǎng)和暗網(wǎng)論壇上唾手可得。目前的威脅檢測方法可以很容易檢測到ChatGPT編寫的惡意軟件，只不過ChatGPT使它們更容易被沒有經(jīng)驗的攻擊者獲取。ChatGPT不是專門針對漏洞利用而設(shè)計的，它會降低網(wǎng)絡(luò)犯罪分子的準入門檻，但不會為犯罪團伙帶來全新的攻擊方法。

RSA首席信息安全官Rob Hughes

與很多安全專家的擔心不同，我并不認為企業(yè)應(yīng)用ChatGPT會帶來新的安全威脅。但是我認為，它給網(wǎng)絡(luò)安全行業(yè)帶來的最大影響是，將擴大、加快和助長現(xiàn)有的威脅后果，特別是對傳統(tǒng)的網(wǎng)絡(luò)釣魚攻擊，ChatGPT可以為攻擊者提供更有迷惑性的釣魚郵件，這是我們現(xiàn)在不?？吹降摹ｋm然攻擊者現(xiàn)在還只是以離線方式利用ChatGPT，但他們早晚會結(jié)合互聯(lián)網(wǎng)接入、自動化和AI來策劃更高級釣魚攻擊或社會工程攻擊，這只需要編寫一段腳本就可以實現(xiàn)。如果攻擊者通過自然語言機器人，使用分布式魚叉網(wǎng)絡(luò)釣魚工具同時攻擊數(shù)百個用戶，安全團隊將更難應(yīng)對。

Gartner分析師Avivah Litan

在很多情況下，如果沒有安全人員對ChatGPT的輸出結(jié)果進行安全審核和驗證，它造成的安全風(fēng)險或許會比它給企業(yè)的幫助更要命。比如說，ChatGPT在自動化編寫程序代碼時，難免會存在一些安全漏洞，但卻容易給企業(yè)造成一種虛假的安全感。同樣，它還可能會疏忽要檢測的網(wǎng)絡(luò)釣魚攻擊，甚至?xí)峁┮恍┎徽_或已經(jīng)過時的威脅情報。

我們認為，在2023年將會看到更多由于ChatGPT應(yīng)用不當導(dǎo)致的企業(yè)數(shù)據(jù)泄露或安全漏洞風(fēng)險，因此，為ChatGPT配置專職的安全管理人員是非常必要的。

ESG高級副總裁、高級分析師Doug Cahill

我認為，ChatGPT具有的強大能力，必將會成為攻、防雙方的利器，可能使用的場景也非常多，包括攻擊偵察、知識獲取、最佳實踐分享以及威脅情報等。雖然ChatGPT會被惡意攻擊者不斷利用，但不能因此否認這種技術(shù)創(chuàng)新的價值和正面的應(yīng)用前景。它可以幫助企業(yè)安全團隊成員之間更好地共享威脅情報以搜尋威脅，并及時更新防護規(guī)則和防御模型。需要反復(fù)強調(diào)的一點是，ChatGPT是一種輔助人的智能化工具，但它的本質(zhì)不是要取代人，在各種威脅調(diào)查中仍然需要人來結(jié)合上下文進行更深入的分析。

畢馬威網(wǎng)絡(luò)安全服務(wù)負責(zé)人Matt Miller

組織在實際應(yīng)用ChatGPT時，安全性將是重中之重。以下是幫助組織在2023年安全利用ChatGPT的幾個建議：

1.為ChatGPT和類似解決方案在企業(yè)環(huán)境中的安全使用設(shè)定預(yù)期，企業(yè)要制定可接受的使用政策，列出員工可以依賴的流程、用例和數(shù)據(jù)，并建立檢查機制和驗證機制；

2.建立內(nèi)部流程，充分考慮使用自動化解決方案的法規(guī)要求，尤其是在知識產(chǎn)權(quán)和個人隱私管理方面的要求；

3.實施技術(shù)控制措施，注意測試代碼安全性和掃描惡意載荷，確保ChatGPT生成的所有代碼都接受標準審查、不能直接復(fù)制應(yīng)用，以及配置互聯(lián)網(wǎng)過濾，以便在員工違規(guī)訪問使用時發(fā)出警報。