https://www.informationsecurity.com.tw/seminar/2024_infosec-gov/
https://www.informationsecurity.com.tw/seminar/2024_infosec-gov/

觀點

ChatGPT會成為下一個重大資安威脅嗎?

2023 / 02 / 03
編輯部
ChatGPT會成為下一個重大資安威脅嗎?
去年11月OpenAI正式發佈ChatGPT時,工程師們驚訝地發現,這個AI聊天機器人不僅能輕鬆模仿人類語言,甚至可以編寫程式碼。幾天之後,工程式師貼出了多個由ChatGPT作出的程式碼範例,從串接雲服務到將Python程式碼移植為Rust,ChatGPT至少在某些基礎程式設計任務上已經表現非凡。

但我們也需要小心,真實情況是否跟ChatGPT炒作一樣?

ChatGPT的程式設計能力先後登上媒體頭條新聞,「ChatGPT對網路安全的威脅遠超大多數人想像」的類似標題也確實讓人緊張。不只一般人好奇ChatGPT編寫惡意軟體的能力,駭客更想它到底能在惡意攻擊中發揮多大作用。

實測:ChatGPT缺乏專業編碼知識

Marcus Hutchins是一位從黑帽轉型為白帽的駭客,曾在2017年阻止WannaCry勒索軟體。Hutchins測試了ChatGPT編寫惡意軟體的能力。

Hutchins先寫好勒索軟體的加密元件,接著試著讓ChatGPT把該元件跟其他必要功能組合成完整的惡意軟體。但ChatGPT失敗了。事實證明,ChatGPT不只難以把各種元件整合起來,也無法順利進行程式碼的基本排序,甚至連正確打開檔案都很辛苦。

儘管ChatGPT能夠作出與訓練資料極為相似的內容,但它仍缺乏構成專業的糾錯工具與前後連貫的專業知識。大家在驚訝於ChatGPT模仿效果的同時,可能忽視了它的局限性。

如果大家全盤接受ChatGPT炒作的論點,那ChatGPT已經幾乎無所不能。從文職工作到學術論文、再到專業考試,也包括駭客們擅長的惡意軟體開發,這一切都將被ChatGPT所掌控。然而,這種論調其實掩蓋了ChatGPT等AI工具的核心目的—並非取代人類專業知識,而是充當高效的AI助手。

ChatGPT編碼依賴專家指導

在ChatGPT發佈的幾周之後,就有多家網路安全公司發佈一系列報告,證明該機器人可能被用於編寫惡意軟體。消息一出,旋即催生了一大堆關於ChatGPT編寫「多態惡意軟體」的頭條新聞。
去年12月,Check Point的研究人員展示了ChatGPT如何從頭到尾構建惡意軟體—包括編寫網路釣魚電子郵件和惡意程式碼。然而,要想讓它生成功能完整的程式碼,必須由專業工程師一步步提供引導和提示,例如添加沙箱檢測和檢查某項功能是否對SQL注入開放。

Check Point表示,攻擊者必須知道自己想要什麼,並指定對應的功能。單純要求其編寫惡意軟體程式碼並不能產生真正有用的結果。若單純的將ChatGPT宣傳成程式設計工具,也會低估專業工程師的專業知識要求。

對於Hutchins這樣的駭客來說,提出正確的問題就是成功的一半。Hutchins認為,ChatGPT需要在專業的程式設計人員引導下進行開發。如果缺乏程式設計經驗,攻擊者甚至不知道該給ChatGPT什麼樣的指示。

必須承認,ChatGPT目前是眾多惡意軟體發展工具中的一部分。在上周發佈的報告中,威脅情報公司Recorded Future在暗網和內部論壇中,發現了1500多個關於使用ChatGPT開發惡意軟體、創建概念驗證程式碼的參考資料。這份報告還提到,其中大部分程式碼都公開可用。

Recorded Future認為,ChatGPT對於攻擊腳本設計者、駭客行動主義者、欺詐分子/垃圾郵件發送者、信用卡欺騙者等技術水準不高的網路犯罪分子等最有幫助。

對於惡意開發領域的新手,ChatGPT也能提供一定幫助。報告總結, ChatGPT能為初學者提供即時範例、教程和資源,降低了惡意軟體發展的門檻。

ChatGPT有望降低駭客技術門檻,但掀起革命火候未足

但總體來看,惡意駭客方獲得的ChatGPT助益有限。ChatGPT雖然降低了駭客技術的學習難度和接觸門檻,但同樣的內容也完全可以在Google上輕鬆查到。

隨著ChatGPT和其他大語言模型的發展成熟,其編寫合法和惡意原始程式碼的能力也將不斷提高。但在真正的轉折來臨之前,ChatGPT等工具所發揮的仍以輔助作用為主,做不到憑空生成惡意軟體。

例如,ChatGPT確實能夠高效生成網路釣魚電子郵件。對於難以順暢使用英語(或其他目的語言)的俄語駭客來說,ChatGPT能迅速提高他們的寫作技巧。抑或學會企業CEO的文字風格,增加釣魚郵件的可信度。

專家提醒,目前絕大多數攻擊源自電子郵件,而絕大多數郵件攻擊並不屬於惡意軟體攻擊。攻擊者只是想誘導用戶提出憑證或執行轉帳操作。ChatGPT確實可以讓釣魚欺詐變得更容易。

但這只是變化中的一環,還不至於掀起駭客革命。高品質的網路釣魚郵件已經很容易製作—可以由攻擊者自己編寫,也可以在外包平臺上雇用專業編輯完成。ChatGPT的出現,只是把釣魚郵件推向了規模化時代。但專家們強調,在對ChatGPT的網路安全影響進行廣泛評估時,必須持續關注整體趨勢。

總體來說,ChatGPT有望降低攻擊門檻、擴大惡意駭客的組織規模。目前網路上已經充斥著大量開源工具和預先打包的惡意軟體,ChatGPT的普及可能會把這些工具輕易地交付,並引導駭客在不借助任何新型惡意軟體的情況下順利完成入侵過程。

最後,專家承認AI工具處於快速變化階段,情況隨時可能不同:「一個禮拜之後,也許一切都將改變。」

本文轉載自cyberscoop.com