ChatGPT将引发大量而普遍的网络安全隐患

Posted 2023-04-06 ༺ཉི།星陈大海།ཉྀ༻CISSP

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了ChatGPT将引发大量而普遍的网络安全隐患相关的知识，希望对你有一定的参考价值。

ChatGPT是一个基于人工智能的语言生成模型，它可以在任何给定的时间，使用自然语言生成技术，生成文本、对话和文章。它不仅可以被用来编写文本，还可以用来编写语言、生成图像和视频。目前， ChatGPT已广泛应用于语言翻译、智能助手和文本生成等领域。

人工智能技术在网络安全领域的应用正在快速发展。以 ChatGPT为代表的人工智能技术掀起了新一轮的人工智能革命，也会引发潜在新型攻击和威胁。如果 ChatGPT被广泛应用于网络攻击领域，将会对网络安全产生巨大影响。同时，由于网络攻击者可以利用 ChatGPT开发新型攻击和内容，因此潜在的网络安全威胁将变得更加严重。

由于网络攻击将会破坏目标系统的运作和性能，因此，为了有效地预防和抵御网络攻击，需要采用人工智能技术。

人工智能（AI）作为一种新兴的技术，在最近几年中快速发展。随着人工智能技术的不断进步，人类在日常生活和工作中所依赖的许多服务和应用都开始向人工智能倾斜。利用人工智能技术，可以帮助人类更高效地处理信息，解决问题，实现更快、更高效的决策过程。

网络安全问题已经成为威胁人类生活和工作的一个重要因素。在这种情况下，利用人工智能技术开发新型网络攻击手段，以破坏目标系统的运作和性能，将会对人类产生更加严重的威胁。因此，为了有效地预防和抵御网络攻击，需要采用人工智能技术开发新型攻击和内容，从而提高网络安全水平。

网络攻击工具和内容的使用

由于人工智能可以从数据中自动提取模式和特征，因此可以使用人工智能生成网络攻击工具和内容。由于 ChatGPT具有强大的文本生成能力，因此也可以从 ChatGPT生成恶意软件、暗网站点和其他网络攻击工具。

网络攻击者已经开始使用 ChatGPT开发新的攻击工具和内容。例如，网络攻击者可以通过使用 ChatGPT构建恶意软件，或者创建与计算机科学相关的恶意软件。此外，网络攻击者还可以利用 ChatGPT来创造用于进行网络攻击的暗网站点。

ChatGPT如何成为网络攻击者的工具？

ChatGPT已经开始被网络攻击者用作工具，如通过攻击电子邮件或恶意网站，以及通过感染系统或窃取信息。许多网络攻击者已经开始利用 ChatGPT来创建恶意软件、暗网站点以及其他实施网络攻击的工具。例如，一位黑客使用 ChatGPT生成了一段代码，然后利用该代码创建了一个名为“Shadowsocks”的暗网站点，并开始通过该暗网站点进行传播。“Shadowsocks”被用于在网络上传播恶意软件和其他恶意内容。随着人工智能技术的不断发展，网络攻击变得越来越复杂，安全风险也将变得越来越严重。

ChatGPT的发展将引发哪些新的安全威胁？

这些威胁包括：

（1）恶意软件的开发和传播；

（2）暗网站点的创建和使用；

（3）网络钓鱼、网络欺诈和其他形式的网络攻击；

（4）计算机病毒、蠕虫和其他恶意软件的传播；

（5）对电子邮件或消息传递系统的攻击；

（6）对通信基础设施、系统和设备的攻击。

人工智能技术的广泛应用为网络安全提供了新的解决方案。但是，在实际应用过程中，要想充分发挥人工智能技术的价值，需要将安全、隐私、道德等因素纳入考虑范围。同时，对于人工智能技术的应用，还需要采取一系列有效措施，确保其安全和隐私

网络安全ChatGPT概念“狂飙”，暗藏哪些网络安全隐患？

最近，ChatGPT火了！

ChatGPT推出仅两个月，月活用户突破1亿，成为史上用户增长速度最快的消费级应用程序。

这是一款由OpenAI开发的消费级别的强人工智能应用。它是一个聊天机器人，可以完成撰写邮件、代码、文案、作业、翻译等任务。ChatGPT展现了AI的惊人能量，为世界带来了不可思议的新能力。

然而与此同时，AI也一直被视为一把“双刃剑”。多年来，全世界都在猜测AI可能即将统治世界。如今，用户可以使用AI驱动的安全工具和产品，在几乎无需人为干预的情况下应对大量网络安全事件，但业余黑客也可以利用同样的技术开发智能恶意软件程序并发起隐形攻击。

ChatGPT带来的网络安全隐患

01 编写恶意软件

目前安全人员已发现网络攻击者使用 ChatGPT 来开发恶意软件。尽管ChatGPT 的设置阻止其直接做恶，比如详细说明如何制造炸弹或编写恶意代码，但多个研究人员已经找到方法，能绕开和规避ChatGPT为防止滥用而设置的规则。

在地下黑客论坛上，网络攻击者展示如何使用ChatGPT创建新的木马。只要简要地描述所需的功能（“将所有密码保存在文件X中，并通过HTTP POST发送到服务器Y”），就可以得到简单的信息窃取器，而不需要任何编程技能。

考虑到已经有犯罪集团提供恶意软件即服务，在 ChatGPT 等人工智能程序的帮助下，攻击者借助人工智能生成的代码发起网络攻击可能会变得更快、更容易。ChatGPT 赋予甚至经验不足的攻击者编写更准确的恶意软件代码的能力，而这在以前只能由专家来完成。ChatGPT 的代码编写质量好坏参半，但无疑可以加速恶意软件的开发。

02 社会工程

ChatGPT 作为由 OpenAI 训练的大型语言模型，能够生成可用于多种用途的类人文本。其中一种用途是在社会工程攻击领域。社会工程攻击是一种依靠心理操纵来诱骗人们泄露敏感信息或执行某些操作的策略。这可以通过各种方式完成，包括网络诈骗、借口和其他形式的欺骗。

研究人员发现，ChatGPT 等GPT-3工具使犯罪分子能够逼真地模拟各种社会环境，从而使任何针对性的通信攻击都更加有效。GPT-3这类语言模型提供支持的工具，使攻击者更易诱骗受害者提供敏感信息或下载恶意软件，加速社会工程攻击。

03 网络钓鱼

ChatGPT在模仿人类书写方面的专长，使其可能成为强大的网络钓鱼工具，尤其对英语不流利的攻击者特别有用。

利用ChatGPT 生成的钓鱼邮件

撰写出色的网络钓鱼电子邮件是一门艺术和科学。借助ChatGPT，编写钓鱼邮件会变得更容易，且没有任何拼写错误或奇怪的格式，而这些通常是区分钓鱼与合法邮件的关键。

攻击者可以借助ChatGPT创造多种钓鱼邮件，例如“使邮件看起来很紧急”、“收件人点击链接的可能性很高的邮件”、“请求汇款的社工邮件”等。

理性使用AI工具

从技术的复杂性到人为因素，个人和企业在确保AI网络安全的过程中面临着诸多挑战，尤其是需要高度重视机器、人类和道德因素之间的平衡。

巴黎政治大学已宣布，禁止使用ChatGPT等一切基于AI的工具，旨在防止学术欺诈和剽窃；外国专家表示ChatGPT将增加虚假信息风险；斯坦福团队推出DetectGPT，阻止学生用AI写作业。ChatGPT面世仅2个月，就已经影响到了人类社会。人们在畅想高科技的未来社会的同时，也在担忧ChatGPT对于网络安全的影响。

由此可见，制定应对策略对于兼顾经营道德和网络安全至关重要。建立有效的治理和法律框架能够增强人们对AI技术的信任，并促进社会公平和可持续发展。因此，AI和人类之间的微妙平衡将成为实现网络安全的关键因素，其中信任、透明度和责任感为机器带来了补充优势。

网络安全学习路线&学习资源

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

网络安全的知识多而杂，怎么科学合理安排？

初级

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。