昨天建了一个公开漏洞POC库，想用neclei ，但是写漏洞检测的yaml实在太麻烦了。至今没有找到能够方便编写yaml的工具。平时时间就那么一点点，一个个漏洞去写岂不是累死了。

于是就想起了用ChatGPT写个漏洞检测脚本。在查找资料的过程中，发现出了chatGPT，还有其他的插件可用，顺便也介绍一下。

我的刚建的漏洞检测脚本库：https://github.com/Vme18000yuan/FreePOC

以后每周有时间更新几个，也欢迎大家提供POC，一起来维护。

首先介绍两个自动化生成POC的工具

首先在 https://cloud.projectdiscovery.io/ 上注册一个账号

如果有google或者微软账户可直接登录

下载插件解压

打开浏览器，安装插件，选择解压后的文件夹

使用演示

例：https://blog.csdn.net/CommputerMac/article/details/134276212

打开网页，找到POC，选中POC，然后右击，点击Generate Nuclei Template，右边会弹出一个框框，点击Generate，稍等一会即可生成Nuclei POC。（需要翻墙连外网）

稍等一会就会出现POC

经测试这样生成很明显这样的有问题，匹配条件可能不对，还需要改一下匹配条件。而且最好是使用原始的HTTP 请求 raw ，可直接复制粘贴burp抓到的数据包，这样最简单而且节省自己写yaml文件格式的麻烦。raw格式如下：

requests:  - raw:    - |        POST /path2/ HTTP/1.1        Host: {{Hostname}}        Content-Type: application/x-www-form-urlencoded
        a=test&b=pd

所以半自动化方式生成还需要有一些yaml的基础才行，这里不再介绍yaml漏洞检测脚本的编写，有兴趣学习的推荐下面链接学习：

https://blog.csdn.net/qq_41315957/article/details/126594572https://blog.csdn.net/qq_41315957/article/details/126594670

nuclei_gpt 是一个通过Embedding向量Nuclei的模板文档的项目，运行prompt查询工具可以直接对接GPT-3.5编写Nuclei的Yaml文件，安全人员只需要提交相关的Request和Response以及漏洞的描述，就能生成Nuclei的Poc。

使用nuclei_gpt 首先需要你有一个ChatGPT的账号，然后登录

https://platform.openai.com/ 创建APIkey

下载nulei_gpt (后台回复 20231114 获取) ，解压文件。

打开Run.py 填写配置，及数据请求包，返回包

然后运行Run.py即可。第一次运行过程中，可能出现各种报错，大都是确实相关的包，直接pip3 install xxx 安装缺少的包即可。

参考：https://github.com/sf197/nuclei_gpt

网上都在说今年是AI元年，AIGC的模式今年的发展确实很大。人工智能赋能各行各业是大趋势，人工智能的发展对于个人既是机遇又是挑战。利用人工智能可用节省学习成本及时间，方便快速完成工作。但与此同时，对企业来说人工智能的应用就是降本增效，压缩人力成本。

对于安全从业者来说也是这样，当很多工作都可以自动化，利用人工智能自动化生成漏洞检测利用脚本，自动化代码审计找漏洞，自动化分析流量，自动化防御。可以说有了人工智能，有些计算机常识，人人都能当黑客。

尤其是在大环境不是太好的情况下，利用人工智能赋能安全行业，那么企业是不是有充分的理由可裁掉大部分安服人员？安全从业者的价值在哪里？

我前两个月一直在焦虑，我的工作的价值和意义在哪里？

用上人工智能，我做的这些事情大街上拉一个培训两天都能做。

长此以往，计算机行业 35岁的大限将至时候，我不失业谁失业？

在写文章时候，看到了这样一段话

话说的虽然难听，但也真实，对于计算机行业来说 开发，算法或是正统。但无论开发还是算法亦或是安全，也还是要不断的学习提升自己。反思我最近两个个月，天天更新公众号，我又得到了什么？无非是焦虑的时候，迷茫的时候，给自己找点事做，但自己毫无提升。似乎也理解了为什么最初关注的那些安全大佬们也不再更新文章，甚至朋友圈都很少发了。

前路依旧漫长，以后公众号还是少更新一些算了，多留点时间给自己学习、思考、休息。