【觀點】ChatGPT能進行社交工程及撰寫惡意程式嗎?

最新消息與洞察

NEITHNET 資安實驗室

ChatGPT與資安方面的議題,網路上其實已有許多相關介紹,這邊先分享給大家:

OPWNAI: AI THAT CAN SAVE THE DAY OR HACK IT AWAY

ChatGPT and Cybersecurity: What Does It Mean?

OpenAI ChatGPT for Cyber Security

ChatGPT與社交工程

  使用ChatGPT去生成一篇文章,最大的特色就是他有可能是不正確的資訊,但是遣詞用字看起來卻很有信心。也可能是完全胡說八道,也無法透過ChatGPT再次檢查它自己產出的文章。而這樣的特色剛好是社交工程最棒的範例。因此,不可否認,以目前CharGPT的使用來看,的確能幫助社交工程的撰文者,用更有效率的方式去準備一些故事。這個題目就跟deep fake是類似的,當假的特別像真的時候,就會有特殊的應對機制啟動。不過這個題目實在太容易讓ChatGPT變成眾矢之的,所以看起來ChatGPT團隊已經做了部分調整,讓這個麻煩事離它遠一點。

ChatGPT及Malware惡意軟體

  從ChatGPT相關文章裡,可以看到透過一些提問技巧,其實可以讓ChatGPT幫你產出一些「特定用途」的程式碼,不論是red team或是blue team,似乎都有一些讓程式設計師都驚奇的感覺。當然這些都是幫助工程師寫出一些程式碼,事實上要上戰場還是會需要些調整及測試演練,完整的malware其實仍需要專業程式設計師去組合這些程式片段。

  工程師會覺得驚奇的地方是,過去我們要透過腦袋清晰的coding程式架構及邏輯,ChatGPT竟然可以很快的產出60~70%,先不論這60%的程式碼是否能夠運作。底下是一個ChatGPT協助筆者寫一段加密程式的例子:(因為程式過長後面省略)

  回頭看ChatGPT產出程式碼這件事,筆者認為:用來訓練的資料遠比一般人的閱覽更豐富,再加上程式碼其實存在design pattern的特性。因此,如果能夠問正確的問題,其實ChatGPT倒是很適合初學者,藉此觀摩思維以及程式的軌跡。不過這樣的程式內容沒有系統性,因此ChatGPT產出的程式碼並不是很適合當作學習的對象。而且要自己試試看才知道,這些程式碼是不是真的可以運作。

  因此,筆者覺得ChatGPT倒是不失為一個管道,可以讓不懂攻擊邏輯的工程師,稍微體會一下這些攻擊是怎樣的一個概念。畢竟如同前面提到的,就算ChatGPT胡謅了一段有嚴重錯誤的故事(程式碼),它看起來也可能是有模有樣,就像真的一樣動人。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。