“新iPhone時刻”ChatGPT是否會變革網絡安全領域?
2022年底ChatGPT風潮席卷全球。ChatGPT在OpenAI開放測試后僅僅兩個月用戶數量便達到1億,并在各行各業受到了巨大的關注,獲得了普遍正面的評價。ChatGPT不僅能夠以非常自然的詞句與人類用戶交流,保持聊天過程的上下文狀態,而且在信息行業多個應用領域測試的效果也非常令人驚艷,例如,按照用戶的要求編寫代碼等。
從綠盟科技的網絡輿情分析中心得到ChatGPT話題和文章的數據可以看出,在2022年12月ChatGPT在發布之初話題討論和文章發布的情況就呈現了增長態勢。此前,微軟宣布將對OpenAI進行為期數年、價值數十億美元的投資,隨后全球資本市場ChatGPT相關概念股表現強勢。谷歌、微軟等國外公司發布類ChatGPT項目,卻因為相關產品引發的回答錯誤等問題導致ChatGPT概念股大起大落。春節復工后,ChatGPT的效果逐漸被各行各業認可,這把火也燒到了港股和A股。國內很多公司相繼聲稱做類ChatGPT的產品,也有公司公布了其產品的上線時間表。此外,科技圈已功成名就的大佬美團聯合創始人王慧文也按捺不住,其本希望攜巨資下場加入合適的公司,而后決定再次創業。國內外這些事件導致ChatGPT幾個月的熱度不降,話題數量與文章數量均于2023年2月14號達到頂峰,目前開始有所回落。
圖1 相關話題數量
相關文章數量
結合知識圖譜和自然語言處理技術對國內外相關源數據的爬取并統計分析處理后,發現相關ChatGPT話題類別和關鍵詞中也不乏網絡安全的內容。關于ChatGPT對于網絡安全行業會產生怎樣影響的討論越來越多,主要集中在四個方面,攻擊方面、安全隱私方面、社會影響方面以及賦能產品方面。早在ChatGPT發布初期,綠盟科技就發布了《ChatGPT在信息安全領域的應用前景》[2]等文章,對ChatGPT在網絡安全領域中的應用做了詳細的評估,例如,ChatGPT生成漏洞利用代碼、逆向分析、安全檢查和漏洞挖掘以及安全告警評估等。目前,無論是綠盟科技還是相關從業人員均發布了許多案例測試ChatGPT惡意軟件生成以及撰寫網絡釣魚電子郵件等功能。相關測試結果表明,雖然,ChatGPT在很多情況下確實給出了準確回答,例如生成釣魚郵件以及對于包含明顯操作系統命令、編程語言函數和關鍵字的告警研判等方面。但是,ChatGPT也存在效果不穩定和效果差的情況,例如:對于非文本類的載荷(比如序列化數據、ELF片段等)等進行解釋,以及復雜代碼撰寫等。
話題類別與關鍵詞分布
目前,ChatGPT的能力仍不能達到或超越具有專業知識和經驗的安全領域從業人員,其起到的作用主要是提高安全領域從業人員的效率。綠盟科技推出的安全智能分析技術白皮書《智能基座,開啟安全分析新時代》[1]中曾指出網絡安全行業中AI模型在真實場景的落地受限于諸多因素,導致一些其他領域效果較好的人工智能模型在網絡安全領域的效果不盡人意。由于ChatGPT相比與之前人工智能聊天機器人,知識更加豐富,關聯上下文能力強大,并可以在各個細分領域下針對提問給出有效的回復。隨著ChatGPT技術的發展,其對于網絡安全產品中人機交互模塊會起到明顯的推動作用。后續如果能開發出網絡安全領域中效果較佳的類ChatGPT產品,輔助或者獨立執行一些網絡安全任務,就表明真正變革網絡安全領域的AI技術很可能終于要到來了。
二. “涌現能力”路在何方?
研究人員[3-4]指出LLM模型具備某種“涌現能力”,如果一種能力沒有出現在較小的模型中,而是出現在較大的模型中,那么這種能力就是涌現,并將其分類為few-shot prompting和augmented prompting strategies。通常當模型參數規模未能達到某個閥值時,模型基本不具備解決此類任務的任何能力,體現為其性能和隨機選擇答案效果相當,但是當模型規模跨過閥值,LLM模型對此類任務的效果就出現突然的性能增長。但是在研究人員的實驗結果中可以看出目前在BIG-Bench中數十個任務中語言模型還有很多不能通過涌現實現的能力,在這些任務中最大的GPT-3和PaLM模型都不能實現高于隨機的表現。研究人員還在繼續研究為什么BIG-Bench一些抽象推理類的任務中涌現能力沒有出現。因此,即使目前有很多涌現能力的例子,但是對于這種能力為什么會以這種方式出現還沒有令人信服的解釋。隨著升級版必應和Bard的拉跨,LLM模型的前景也不斷被討論。其中,影響力最大的發言來自于圖靈獎得主Yann LeCun。LeCun表示LLM在實現人類水平AI方面扮演的角色有限。LeCun等學者認為最終會有更好的系統出現,但是不會是LLM。
目前, ChatGPT還處于高速發展中,本身技術存在一些不足,并且在網絡安全領域應用AI技術賦能相關產品也不是新鮮事。但是,ChatGPT在網絡安全領域的影響還是超過以往的人工智能技術,被諸多網絡安全公司所關注。從ChatGPT在網絡安全領域展示的能力可以看出,在困難告警研判和復雜代碼分析生成等方面ChatGPT遠遠不能和人類相比。但是,作為一個通用自然語言處理工具,ChatGPT在代碼相關問答中具備讓人們感到驚喜的推理能力,能協助網絡安全從業人員處理網絡安全事件,相較于其他工具已經是一個重大技術突破。LLM擅長與代碼相關任務的原因在于程序可操縱的變量的狀態是有限的、離散的、確定的和完全可觀察的。LLM推理相關工作包括基于Prompt的方法和在預訓練過程中引入程序代碼的方法。前者是通過合適的提示語或提示樣本,更好地激發出LLM本身就具備的推理能力,后者是利用代碼增強LLM推理能力,增加多樣性的訓練數據,直接增強LLM推理能力。當LLM能綜合運用網絡安全領域的相關知識點,具備強大推理能力,才是網絡安全領域所期待LLM模型具備的“涌現能力”。
LLM模型站在現在這個時刻還完全沒有能力去解決網絡安全領域中一些復雜任務,由于其具備“涌現能力”,一旦持續投入,某天在網絡安全領域的任務中“涌現能力”解鎖后,會給網絡安全領域一個驚喜,引領網絡安全領域的變革。這種能力的解鎖,需要多方面的投入。其中,擴大模型的規模和數據的規模可以增加語言模型的能力,但是此類方案的成本是昂貴的。尤其是在網絡安全領域,無論是計算資源的投入還是網絡安全數據的獲取和梳理都面臨巨大的挑戰,例如:數據治理方面,網絡安全領域可用數據集的質量遠遠小于自然語言處理等領域。因此,讓網絡安全領域的模型具備“涌現能力”的方案可以考慮改善現有模型的架構,例如:稀疏混合專家架構,通過局部的學習策略等。此外,對prompting通用性技術的優化進一步擴展語言模型的能力也是可以考慮的方案。隨著LLM發展,如何促進其在網絡安全領域的任務中具備“涌現能力”還有很長的路要走,這需要網絡安全人員共同探索。
三. 產業變革的驅動力
盡管存在上述多種問題和難點,網絡安全行業依舊期待ChatGPT將驅使網絡安全從目前的 “勞動密集型”產業重回“技術密集型”產業。隨著ChatGPT的不斷發展,如何讓一名網絡安全從業人員完成多人的工作,使ChatGPT在告警研判,漏洞挖掘,規則生成,軟件開發,威脅檢測等多個方面真正的為安全從業人員提供幫助,是網絡安全產業轉型的重要驅動力之一。因此,需要在網絡安全領域建設網絡安全領域不同任務的評測數據集,定義網絡安全領域涌現能力的指標等。此外,在使用LLM技術的時候也需要認識到其不足,例如:few-shot prompting并沒有包含在預訓練中,但是能夠通過涌現來實現,那么相關風險存在以類似的方式出現的可能性。在網絡安全領域中模型出錯的風險相較于其他場景可能會帶來更大的損失。只有基于真實的網絡安全數據和場景,不斷的促進LLM技術在網絡安全領域前進,才能將LLM的能力應用到網絡安全領域。
使用ChatGPT可以幫助網絡安全從業人員一定程度地提高工作效率,但是也會引入數據安全問題。例如,數據泄露的隱患,據硅谷媒體報道,亞馬遜在ChatGPT生成的內容中發現了與公司機密“非常相似”的文本,如何防范其安全性問題也是各行各業所需要考慮的。后續綠盟科技將發布分析ChatGPT本身數據和模型所面臨安全問題的相關文章,敬請期待。
總之,ChatGPT在各行各業的廣泛應用可以看作“新的iPhone時刻“到來,也期待其可以打開網絡安全領域新世界的大門。
