ChatGPT會成為下一個重大資安威脅嗎？

去年11月OpenAI正式發佈ChatGPT時，工程師們驚訝地發現，這個AI聊天機器人不僅能輕鬆模仿人類語言，甚至可以編寫程式碼。幾天之後，工程式師貼出了多個由ChatGPT作出的程式碼範例，從串接雲服務到將Python程式碼移植為Rust，ChatGPT至少在某些基礎程式設計任務上已經表現非凡。

但我們也需要小心，真實情況是否跟ChatGPT炒作一樣？

ChatGPT的程式設計能力先後登上媒體頭條新聞，「ChatGPT對網路安全的威脅遠超大多數人想像」的類似標題也確實讓人緊張。不只一般人好奇ChatGPT編寫惡意軟體的能力，駭客更想它到底能在惡意攻擊中發揮多大作用。

實測：ChatGPT缺乏專業編碼知識

Marcus Hutchins是一位從黑帽轉型為白帽的駭客，曾在2017年阻止WannaCry勒索軟體。Hutchins測試了ChatGPT編寫惡意軟體的能力。

Hutchins先寫好勒索軟體的加密元件，接著試著讓ChatGPT把該元件跟其他必要功能組合成完整的惡意軟體。但ChatGPT失敗了。事實證明，ChatGPT不只難以把各種元件整合起來，也無法順利進行程式碼的基本排序，甚至連正確打開檔案都很辛苦。

儘管ChatGPT能夠作出與訓練資料極為相似的內容，但它仍缺乏構成專業的糾錯工具與前後連貫的專業知識。大家在驚訝於ChatGPT模仿效果的同時，可能忽視了它的局限性。

如果大家全盤接受ChatGPT炒作的論點，那ChatGPT已經幾乎無所不能。從文職工作到學術論文、再到專業考試，也包括駭客們擅長的惡意軟體開發，這一切都將被ChatGPT所掌控。然而，這種論調其實掩蓋了ChatGPT等AI工具的核心目的—並非取代人類專業知識，而是充當高效的AI助手。

ChatGPT編碼依賴專家指導

在ChatGPT發佈的幾周之後，就有多家網路安全公司發佈一系列報告，證明該機器人可能被用於編寫惡意軟體。消息一出，旋即催生了一大堆關於ChatGPT編寫「多態惡意軟體」的頭條新聞。
去年12月，Check Point的研究人員展示了ChatGPT如何從頭到尾構建惡意軟體—包括編寫網路釣魚電子郵件和惡意程式碼。然而，要想讓它生成功能完整的程式碼，必須由專業工程師一步步提供引導和提示，例如添加沙箱檢測和檢查某項功能是否對SQL注入開放。

Check Point表示，攻擊者必須知道自己想要什麼，並指定對應的功能。單純要求其編寫惡意軟體程式碼並不能產生真正有用的結果。若單純的將ChatGPT宣傳成程式設計工具，也會低估專業工程師的專業知識要求。

對於Hutchins這樣的駭客來說，提出正確的問題就是成功的一半。Hutchins認為，ChatGPT需要在專業的程式設計人員引導下進行開發。如果缺乏程式設計經驗，攻擊者甚至不知道該給ChatGPT什麼樣的指示。

必須承認，ChatGPT目前是眾多惡意軟體發展工具中的一部分。在上周發佈的報告中，威脅情報公司Recorded Future在暗網和內部論壇中，發現了1500多個關於使用ChatGPT開發惡意軟體、創建概念驗證程式碼的參考資料。這份報告還提到，其中大部分程式碼都公開可用。

Recorded Future認為，ChatGPT對於攻擊腳本設計者、駭客行動主義者、欺詐分子/垃圾郵件發送者、信用卡欺騙者等技術水準不高的網路犯罪分子等最有幫助。

對於惡意開發領域的新手，ChatGPT也能提供一定幫助。報告總結， ChatGPT能為初學者提供即時範例、教程和資源，降低了惡意軟體發展的門檻。

ChatGPT有望降低駭客技術門檻，但掀起革命火候未足

但總體來看，惡意駭客方獲得的ChatGPT助益有限。ChatGPT雖然降低了駭客技術的學習難度和接觸門檻，但同樣的內容也完全可以在Google上輕鬆查到。

隨著ChatGPT和其他大語言模型的發展成熟，其編寫合法和惡意原始程式碼的能力也將不斷提高。但在真正的轉折來臨之前，ChatGPT等工具所發揮的仍以輔助作用為主，做不到憑空生成惡意軟體。

例如，ChatGPT確實能夠高效生成網路釣魚電子郵件。對於難以順暢使用英語（或其他目的語言）的俄語駭客來說，ChatGPT能迅速提高他們的寫作技巧。抑或學會企業CEO的文字風格，增加釣魚郵件的可信度。

專家提醒，目前絕大多數攻擊源自電子郵件，而絕大多數郵件攻擊並不屬於惡意軟體攻擊。攻擊者只是想誘導用戶提出憑證或執行轉帳操作。ChatGPT確實可以讓釣魚欺詐變得更容易。

但這只是變化中的一環，還不至於掀起駭客革命。高品質的網路釣魚郵件已經很容易製作—可以由攻擊者自己編寫，也可以在外包平臺上雇用專業編輯完成。ChatGPT的出現，只是把釣魚郵件推向了規模化時代。但專家們強調，在對ChatGPT的網路安全影響進行廣泛評估時，必須持續關注整體趨勢。

總體來說，ChatGPT有望降低攻擊門檻、擴大惡意駭客的組織規模。目前網路上已經充斥著大量開源工具和預先打包的惡意軟體，ChatGPT的普及可能會把這些工具輕易地交付，並引導駭客在不借助任何新型惡意軟體的情況下順利完成入侵過程。

最後，專家承認AI工具處於快速變化階段，情況隨時可能不同：「一個禮拜之後，也許一切都將改變。」

本文轉載自cyberscoop.com