ChatGPT——AI平民化的里程碑

人工智能（AI）技术一直以来还不是一项很亲民的技术，要么如神经网络让普通人无法理解和使用；要么如自动驾驶，具有较高的体验门槛，且没有达到一定的可靠性要求。人们对于AI的认识，更多来自于手机支付的人脸识别、互联网服务的自动客服等应用。自动客服不太智能的回复，往往让焦急的用户抓狂，分分钟想要转人工客服。总体给人的感觉就是，平民的AI时代尚未到来，还需要一个比较长的过程。这一切，在ChatGPT的出现后，发生了根本性的改变。

ChatGPT带来的新体验就是，总算有点像人的回复了。它是由OpenAI研发的自然语言生成模型GPT-3.5基础上，用聊天的方式来实现的一种对话服务。这个对话服务和原来不太智能的客服有多个方面的本质区别。

一是结果相关性非常好。ChatGPT显然不仅仅做了关键词匹配，它是在理解提问者意图的基础上给出的答复。国外已经拿ChatGPT参加了各种的考试，像GRE和托福自然不在话下，还有拿它参加沃顿商学院MBA、执业医师考试，以及律师考试，ChatGPT都拿到了不错的成绩。

二是结果是经过整理归纳的。不像搜索引擎仅仅返回一份文档列表，需要提问者自行阅读和理解，ChatGPT按照提问者能直接使用的形式给出答案。这两天随着微软的Copilot服务发布，在微软Office的环境下，GPT模型能够直接给出Word文档或者PPT形式的结果。

三是ChatGPT的回答是有上下文的。ChatGPT一次聊天过程中，后面的回答是基于前面的聊天内容，而不是一个一个独立的回答。所以可以就一个问题在一系列的交互中聊透，这个确实很像和人的对话。

正是这样的特性，使得ChatGPT成为一种普通人能够轻易获得，并且愿意花时间去体验的服务，从而开启了AI的平民时代。这种情况下，AI将会迅速影响生活中的各个领域，自然包括信息安全领域。

AI给信息安全领域带来的影响必定是双面的。一方面，AI能够辅助安全分析人员更好地发现系统的漏洞，更快找到相似的案例，从而对系统进行加固。另一方面，AI也会被黑客利用，更容易找到突破系统防护的手段，制造更加逼真的社工邮件，从而降低网络攻击的门槛。ChatGPT虽然是以聊天形式出现的AI应用，但是却直击AI在信息安全领域的应用痛点，如海量文本处理和理解、智能化的攻击手法和漏洞匹配、自动化的代码生成等，其对于信息安全的冲击必将是深刻的。

AI时代信息安全面临新威胁

GPT作为一种生成式的语言模型，能够用来生成文本和代码。在信息安全方面，它就具备了被用来生成网络钓鱼邮件内容和恶意软件的可能性。实际上ChatGPT在这方面确实表现非常优秀。ChatGPT由于具有一定的概率模型，每次生成的内容都有所变化，这天然符合钓鱼邮件的需求。ChatGPT能够大量学习钓鱼对象的背景知识，包括社交网络上的各种信息，从而能够生成符合钓鱼对象日常工作的钓鱼邮件，具有极大的欺骗性。而且ChatGPT精通各国语言，为跨境钓鱼提供了极大的便利性。

在恶意软件的制作方面，ChatGPT能够精准分析目标系统的安全漏洞，有针对性地快速生成代码，加快了恶意软件的制作进程。特别是对于快速利用0-day漏洞方面，ChatGPT能够提升恶意软件的开发时效性。

ChatGPT所带来的网络攻击工具制作的便利性降低了实施网络攻击的门槛。原来信息安全领域将初入门的攻击者称为“脚本小子”，ChatGPT的出现可能会加大这一群体的规模。

基于ChatGPT能够给网络攻击者提供的能力支撑，在AI时代信息安全将会面临一些新的风险，主要表现在以下方面。

1.超强的攻击手段整合能力

一次成功的网络攻击离不开一套组合的攻击手段和过程。使用单一的恶意软件实施单一的攻击，其难度并不高。难的是利用一系列的恶意软件工具，形成一套组合方案，达到最终的攻击目的。ChatGPT能够依据输入的网络拓扑和各类配置参数、系统的漏洞情况，生成一套完整的攻击方案。对于没有现成的恶意软件工具的情况下，ChatGPT还能够生成相关的代码，这就构成了一个完整的攻击方案生产线。

2.超强的漏洞发现能力

ChatGPT能够读取代码，并从中发现软件漏洞。开源软件自然不在话下，越来越多的潜在漏洞将被ChatGPT发现。即使是封闭式代码，ChatGPT也能够从泄漏的源代码，或者逆向工程后获得的代码，来发现系统漏洞。最重要的是，ChatGPT还能直接给出漏洞利用的代码。

3.针对性更强的社工钓鱼攻击

过去社工钓鱼邮件往往具有广撒网、薄收获的特点。现在ChatGPT能够迅速生成个性化“一对一”钓鱼邮件，这为钓鱼邮件的发现和防范提升了难度。钓鱼邮件的阻断和过滤主要依赖于文字上的特征，现在ChatGPT生成的内容即使专家也难以辨别，很难与普通邮件进行区分。

4.手把手的漏洞利用参谋

有人将网络安全培训平台上遇到的题目输入给ChatGPT，ChatGPT能够给出解决问题的思路和建议。同样的，黑客在实施网络攻击的时候，能够把ChatGPT视作一个参谋，不断将入侵过程中发现的问题输入给ChatGPT，ChatGPT也能有针对性地提供解决问题的方法和步骤。

AI时代信息安全防御新机遇

ChatGPT在给黑客实施网络攻击提供便利的同时，也是一个网络安全防御人员的好工具，能够给网络安全防御带来一些新的机遇。

1.更好地实现安全处置自动化

网络安全处置预案的自动化编排是应对各类网络安全威胁的有效手段，ChatGPT能够被用来对安全策略进行整理和分析。对于安全策略的有效性，ChatGPT能够利用AI进行模拟验证，为安全策略的完整性和正确性提供了保障。同时，AI技术的运用，减少了人工输入，能够降低人工输入所带来的错误风险。

2.利用AI来开展渗透测试

ChatGPT具有自动化海量信息分析的能力，能够对接第三方的威胁情报平台，将本地信息系统的资产数据和威胁情报数据进行碰撞，能够发现潜在的渗透路径。ChatGPT能够自动化地将渗透方法形成报告呈现给安全分析人员，从而成为安全分析人员加固系统的有效参考。

3.自动化的安全评估和整改方案

原先对于信息系统进行安全评估需要较长的周期，需要投入较多的人力，整理汇聚来自各个方面的信息，包括业务系统、法律法规、数据全生命周期的处理情况。现在利用ChatGPT能够大大加快安全评估的进程，对于系统的异常情况、不合规情况，能够迅速作出判断，提升了安全评估工作的效率。ChatGPT还能自动化生成整改的方案，保证了方案的针对性和完整性。

4.脚本编写好工具

一直以来低代码工具都是让一线的运维人员参与到工具编写工作中的有效手段。ChatGPT的出现，实际能够担任这样一个低代码开发工具的角色。首先，ChatGPT能够很好地理解业务需求，生成符合特定事务的脚本。其次，ChatGPT精通各种编程语言，能够根据需要生成任何语言编写的工具。

防范AI风险，构筑AI之盾

ChatGPT在网络安全中的运用仍然存在一定风险，这里面有工具本身的不完善，也有作为新事物所带来的新问题。主要表现在以下方面。

1.ChatGPT广泛采集信息是否合规

ChatGPT作为一个迭代生成模型，用户的使用过程实际就是在不断训练这个模型的过程。用户的输入可能会被ChatGPT用来作为下一次回答的信息。假如用户误输入了隐私信息，有可能在不经意间造成隐私泄露。

2.ChatGPT误报如何处理

当这个模型大部分时间给出的答案是正确的，使用人员就会对其产生依赖。假如这个模型给出了错误的答案，有可能会被错误地采纳。特别是，当ChatGPT的使用面更加广的时候，它的一个错误可能会被放大，成为类似于谣言传播的效应。

3.ChatGPT是否被用于违法行为

ChatGPT似乎有一定的道德意识，但是很容易被突破。ChatGPT的使用者能够通过引导，一步步制造一种合法合理的情景，使得ChatGPT在不经意间提供一种能够被用于实施违法行为的方法。

ChatGPT作为一种新的事物，它的出现已经不可阻挡。那么就采取一些有效的措施来规范AI在信息安全领域的使用。目前已经形成了一些共识。

首先，需要确保ChatGPT不侵犯知识产权。ChatGPT给出的内容是整合后的结果，但是其原始出处可能会涉及知识产权的问题，需要有一定的法律机制对AI引用内容进行创作进行一定的规范。

其次，要建立问责机制。AI生成的内容，被用于实施某种行为，其责任是否涉及AI算法设计者、AI生成内容的服务商、还是AI生成服务的使用者？

第三，加强安全人员的培训。AI能够成为网络安全工作中的好帮手，但是，对于AI生成的内容需要进行验证，对于AI生成的代码需要先进行测试。

第四，AI的算法需要更加开放。目前ChatGPT的算法是一个封闭的系统，对于算法的结果无从预测。这给算法的使用带来一定的不确定性。打造一个完全开放的AI算法，有利于各方一起来监督这个算法被正确地使用。

正所谓AI所带来的风险，还是需要用AI来化解。尽管目前AI生成的内容还不是百分百可靠，但是根据二八法则，80%的内容可能完全交给AI去处理，安全人员只需要把精力集中在20%的重要性事务中。AI经过规范，在网络安全领域得到良性发展，对网络安全工作本身的提升将会是颠覆性的。