2023年ChatGPT改變信息安全領域的三種姿勢

2022年11月30日開放公測以來，ChatGPT風潮席卷全球。對于多年來受各種差強人意的人工智能（AI）和機器學習“創新”所困擾的安全行業來說，這些反應很能說明問題。許多人都非常看好ChatGPT的潛力，認為AI真正變革信息安全領域的時刻終于到來了。

但現實情況也相當令人清醒，因為已經有無數案例表明各種類型的黑帽子黑客也能靠ChatGPT“大展神威”。最初的概念驗證實驗中，紐約大學教授Brendan Dolan-Gavitt用ChatGPT利用了一個緩沖區溢出漏洞。其他例子還包括極速編寫惡意軟件，以及撰寫語法正確、以假亂真的網絡釣魚電子郵件。

網絡安全領域的AI武器化不是什么新鮮事，但ChatGPT最令人興奮的是它有可能補上信息安全最大的短板——人才短缺，無論在信息安全技術的廣度還是深度（即專業化）上。具體講，2023年，ChatGPT會在三個方面改變信息安全領域。

促進眾包威脅情報

很長一段時間以來，信息安全行業想要努力實現的愿景之一就是成功眾包威脅情報，能夠看清垂直行業里眾多公司的當前狀況。但很遺憾，實現這一愿景的最大障礙就是各公司間缺乏共享情報所需的信任。

這是各個行業的信息共享與分析中心（ISAC）一直在努力解決的問題，而結果有好有壞。將來，ISAC可以采用ChatGPT模型及其自然語言接口，基于組織內部的隱式信任向其饋送ISAC成員提交的日志數據。然后，ISAC就能用ChatGPT關聯網絡連接、惡意IP地址和域名類別，以及類似的行為。關聯結果可產生一組IDS規則供ISAC成員實現，用以保護自身免遭威脅侵害。ISAC還可藉此洞察整個行業的總體風險態勢。

利用現有資源做更多事情

當前的經濟不確定性迫使安全企業停止招聘新人入職，努力從現有資源身上榨出更多生產力。作為能力倍增器，ChatGPT在這方面非常有用，能讓一名分析師完成多人才能完成的工作。

通才和入門級員工可以描述在警報和檢測中看到的情況，然后要求ChatGPT破譯這些觀察結果，啟動分類流程。幫助信息安全從業人員日常去混淆化可疑惡意代碼就是個很實際的例子，這個過程通常需要一個小時以上才能完成。而借助ChatGPT，幾秒鐘就完事了。

ChatGPT還具備改變事件響應的潛力。安全團隊可以利用現有模型和自然語言處理饋送事件相關的所有可用數據，并描述潛在響應的基本原理。然后，ChatGPT可以立即證明或證偽攻擊推測。當下，完全解決一起事件需要事件響應主管、工程師和幾名分析師辛勤工作數天。未來，這個過程可能根本就不需要分析師參與了。

推動惡意軟件貓鼠游戲達到新高度

如今，惡意黑客每年新產出上億惡意軟件樣本。因為全都需要手動編程，到底還是特征碼檢測能夠搞定的有限數量。然而，ChatGPT橫空出世后，黑客就可以對它說：“我想做A事，在B操作系統上干。”ChatGPT就會生成數十萬次惡意軟件迭代。

這意味著，檢測引擎的機器學習模型必須能夠更加快速地重新計算。這就復雜得多了，因為面對的是龐大得多的數據集。值得慶幸的是，ChatGPT會加強逆向工程過程，給反惡意軟件工作一戰之機。

舉個例子，通用文件名是逆向工程面臨的一大挑戰，因為通用文件名不能提供找到其出處所需的上下文。想要確定是在什么系統上構建的，還需要投入更多的人力。二進制匯編代碼的一些細微變化標志著最終結果的改變——例如，是為32位還是64位架構編寫的？系統用的是小端字節序還是大端字節序？這些問題的答案決定了你閱讀機器語言的方向（正向還是反向）。

如果缺乏上下文，以上種種都需要試錯。ChatGPT能以閃電般的速度執行這些迭代，交給逆向工程師最終的匯編語言，繼續下一步處理。逆向工程師可以用自然語言跟ChatGPT溝通，讓ChatGPT說出它認為目標應用程序想干什么。更重要的是，ChatGPT可以大規模完成所有這些工作，分析幾十萬二進制樣本，并向分析師證明所得。

ChatGPT還有助于反擊常見的貓鼠游戲技術。例如，惡意軟件通常包含嵌套循環等反逆向工程技術，讓逆向工程師更難以跟蹤當前和最終狀態。而ChatGPT搞清這個問題比人工快得多。它還能分析惡意軟件的遺傳密碼，看哪里可能存在代碼復用，從而更快識別惡意軟件作者的指紋。

長期影響

每次AI取得新進展，人們總會擔憂自己會不會被取代。ChatGPT估計取代不了人類，反而會讓我們成為更強大的信息消費者。力量倍增效應會在各個層面產生深遠影響。可以預見，CISO會向ChatGPT饋送一系列相關風險信息，讓ChatGPT給出完全適應其環境的各種策略和規程、事件響應計劃等。

盡管ChatGPT不過是個研究預覽，其變革安全從業人員工作方式的前景卻令人振奮不已。