从攻击视角探讨ChatGPT对网络安全的影响-电子发烧友网

专家介绍

ChatGPT是OpenAI 发布的基于人工智能的对话机器人，上线短短2个月活跃用户就突破了1亿，成为全球关注的焦点。ChatGPT可以自动化地处理对话，可以通过基于自然语言处理技术的模型、情景模型和语言模型来自动生成文章，甚至可以按照用户的要求编写代码。那么ChatGPT会对网络安全行业带来哪些影响呢？接下来我们将通过系列文章，分别从“攻”、“防”、ChatGPT的不足以及安全领域的应用建议等方面来分析ChatGPT在网络安全领域的作用。

本篇将从“攻”的视角

看看ChatGPT制作网络攻击工具的能力

让ChatGPT生成钓鱼邮件

能力指数：★★★★☆

我们让ChatGPT来生成一封以“疫情防护”为主题的中文钓鱼邮件。

ChatGPT采用“以假乱真”的策略，以防患钓鱼邮件的主题来诱惑用户点击钓鱼链接，这种诱导性的话术令人咋舌。

结论

ChatGPT可以说是一名钓鱼邮件专家，综合评价：★★★★。它具有自然语言理解和自我训练的能力，可以从网络或现实世界学习文本，并生成许多不同类型的钓鱼邮件，诱导用户点击。

让ChatGPT生成恶意代码，

能力指数：★★★☆☆

第一步，小试牛刀：“两数之和”编程

ChatGPT生成代码的前提是对于代码实现功能的深刻理解，为了验证ChatGPT的编程能力，我在LeetCode上选择了一个two sum的经典双指针编程题目，观察它的实现情况。

提交后可以看到它的代码完全正确，并击败了96.7%的用户。

我怀疑ChatGPT这个老六“不讲武德”，抄袭了某个GitHub的答案。因为它给出的函数名居然和LeetCode的一模一样。

第二步，高难度算法编程挑战

为了进一步验证，我又找了一个无法轻易找到源码的背包类动态规划算法编程题。

经过分析发现，ChatGPT给出的动态规划代码有一处错误，那就是：dp[i][j] = max(dp[i-1][j],dp[i-1][j-A[i-1]] + V[i-1])应改为dp[i][j] = max(dp[i-1][j],dp[i][j-A[i-1]] + V[i-1])，只需要稍微改动，即可实现正常运行。尽管有一点小小的瑕疵，但是ChatGPT已经做到了很不错的水平！

第三步，让ChatGPT生成恶意代码

1.首先，让ChatGPT生成PHP一句话木马。

这个一句话木马很熟悉吧，它完全可以正常工作。

2.我们继续让它生成一些高阶的包含base64_decode函数的WebShell。

是不是有种被拿捏的感觉！！！我们再让其生成各种变形WebShell，ChatGPT仍能轻松应对。

3.众所周知，检测加密WebShell是WebShell检测的一大挑战，我们尝试让其生成基于PHP编写的加密WebShell。

ChatGPT提供的后门代码，只要更改秘钥$key即可使用。ChatGPT能够一键生成常见网络攻击脚本，这让我们网络防御工作者既惊叹不已，又深感忧虑，因为它大大降低了网络攻击的门槛。

第四步，让ChatGPT生成勒索软件

可以看到，上面的代码完全能够正常运行。为了能够实现免杀，我们试着问ChatGPT：

它的回答非常全面，令人印象深刻。但对复杂的编译语言恶意样本，尤其对于隐蔽性、高对抗性、反调试性等高级要求，则ChatGPT能力相对不足，只能给出相关知识。

结论

ChatGPT恶意代码生成能力尤其是脚本能力突出，但高阶的对抗型样本生成略显不足，综合评分：★★★。

那么是什么原因让ChatGPT的代码生成能力如此突出呢？

1.ChatGPT的代码生成原理：ChatGPT通过利用大量的代码和文本混合数据进行训练，来达到创造出新的有效代码以及恶意代码的能力。其中，所训练的数据包括CSDN、Stack Over Flow、GitHub等网站收集的数据。

2.ChatGPT准确理解用户的对话意图原理：ChatGPT是基于Transformer模型的语言模型，核心算法是基于双向语言模型（BiLM）和注意力机制（Attention）的Transformer模型。Transformer模型可以产生语义上更准确的响应，而注意力机制可以更加准确地理解用户输入，从而更好地回应用户问题。

利用ChatGPT辅助测试和开发

水能覆舟，亦能载舟。对于渗透测试人员和BAS类安全产品开发人员，ChatGPT可以帮助生成单元测试代码或渗透测试的脚本，省掉不少苦力活。例如：