//  

一时间，ChatGPT成为街头巷尾热议的话题，自2016年，AlphGo击败李世石而掀起的AI浪潮后，AI行业沉寂良久，ChatGPT这一现象级故事的出现，使这个行业再度以高光的姿态回到公众视野。自ChatGPT推出以来，关于人工智能是否会使网络威胁格局向有利于网络攻击者或防御者的方向发展一直存在着激烈的讨论，但无疑热潮中的ChatGPT将在2023年对网络威胁格局形成产生新的影响。

ChatGPT全名为Chat Generative Pre-Trained Transformer，是一种专注于对话生成的语言模型。它能够根据用户的文本输入，产生相应的智能回答。其实ChatGPT本质是一个自然语言处理工具，是一种基于GPT-3.5架构的大型语言模型LLM（Large Language Model），GPT-3.5是经过GPT-1、GPT-2、GPT-3逐年演变形成的非常强大的一种模型架构，其使用海量高质量文本数据结合RLHF（Reinforcement Learning from Human Feedback，人类反馈强化学习）技术进行训练，且加入了更多人工监督进行微调，最终形成了目前近乎全能的ChatGPT。

ChatGPT基于强大的基础模型、高质量的样本数据、基于人类反馈的强化学习的三大关键能力，为各行各业带来了巨大的可能性。但随着生成式人工智能的技术进步，网络攻击者可以轻松地进行微调和针对性的攻击，因此ChatGPT可能对网络安全构成严重的威胁，网络攻击者已开始使用ChatGPT来创建恶意软件、暗网站点和其他实施网络攻击的工具。

根据威胁情报公司 Recorded Future 的研究人员在最新报告中表示，使用ChatGPT编写用于网络攻击的恶意软件代码，降低了攻击者的编程或技术能力门槛 。在报告中指出，只要对网络安全和计算机科学的基础知识有基本了解，就可借助ChatGPT实施网络攻击。另外Palo Alto Networks公司的安全专家Sean Duca也认为：“ChatGPT降低了网络犯罪的门槛”——即使没有技术，也能成为攻击者。

使用ChatGPT生成一个文件窃取程序，窃取电脑中所有以txt、doc、xls、ppt结尾的文档文件，并打包压缩上传到攻击者FTP服务器。更近一步，还能实现提取文档里的手机号、身份证号、银行卡号等敏感信息。

△ ChatGPT生成的Python文件窃取程序

使用ChatGPT生成一个目录爆破程序，可以帮助攻击者生成常见的实用攻击者工具，比如目录爆破、xss负载生成等。

△ ChatGPT生成的目录爆破程序

使用ChatGPT生成一封逼真的钓鱼邮件，只需要输出一些简单的描述，ChatGPT可以对内容自动填充，生成的邮件内容足以以假乱真。

△ ChatGPT生成的一封钓鱼邮件

近期，因为太多人进行滥用，ChatGPT进行了一次安全更新，更新后很多恶意软件相关的内容已经无法生成，比如Cobalstrike工具。

△ 最新ChatGPT已不支持生成某些恶意软件相关的内容

针对ChatGPT的限制，可以换一种方式进行询问，比如换个角度说要做某某检测，让它提供一个示例代码，就能够很好的绕过其安全机制。

△ 绕过最新ChatGPT的安全限制

△ 使用ChatGPT生成免杀webshell

综上，我们可以看到ChatGPT使网络安全民主化，这将孕育出新一代的网路攻击者，网络攻击者门槛降低、扩大恶意黑客的群体规模。将对“脚本小子”、黑客行动主义者、欺诈分子/垃圾邮件发送者、支付卡欺骗者等技术水平不高的网络犯罪者提供技术帮助，同时对于恶意开发领域的新手，也将提供技术指引性。

对于攻击者来说，可以借助ChatGPT进行网络钓鱼、恶意代码生成和实施社会工程学等网络攻击，且攻击者的速度和复杂性都将对目前的网络安全提出了全新的挑战。因此从防御者的角度来说，可以充分利用ChatGPT的关键学习力进行恶意代码检测、发现漏洞以及事件分析与响应。

►ChatGPT借助学到的海量知识库，可以实现生成检测规则、日志解析等功能，其中日志解析可以实现对任何安全日志进行智能解析，可以精准猜测出日志中每个字段的含义，并且能给出合理的解释。

►目前全球已有很多利用ChatGPT在现有代码中寻找潜在BUG或漏洞的成功案例，借助ChatGPT学到的海量漏洞知识，可以自动分析一段代码是否存在漏洞，从而自动识别漏洞，无需白帽子参与。

►根据测试的目标，ChatGPT可以给出详细的渗透测试指导，通过业内专业人士论证，根据ChatGPT的渗透测试步骤，可以完整的对一个测试目标完成渗透测试。

►ChatGPT可从大量风险数据中生成见解和分析，快速生成对风险数据的分析结果，根据攻击情况，自动生成网络防御决策解决方案。

►通过ChatGPT可以生成实际可用的漏洞利用工具，能够帮助用户完成相当一部分的代码编写工作，而且代码注释、变量命名等都非常完善。

►ChatGPT可用来分析机器语言ShellCode、BASE64编码的功能，识别未知威胁。

►在ChatGPT中输入漏洞相关的一些信息，根据指令可以生成一份全面的漏洞赏金报告。

未来已来，人工智能将对网络安全行业的发展带来全新的格局，新的攻击手段层出不穷，对企业的网络安全的管理者提出更加严苛的要求。但随着ChatGPT在企业恶意代码检测、发现漏洞以及事件分析与响应的利用，甚至未来更深层的应用、更多的场景融合，也将为企业网络安全的防御带来更多可能。

本文作者：斗象科技 TCC实验室 Chris