ChatGPT的安全影响

©2023云安全联盟大中华区版权所有1 ©2023云安全联盟大中华区版权所有2@2023云安全联盟大中华区-保留所有权利。本文档发布在云安全联盟大中华区官网(http://www.c-csa.cn)，您可在满足如下要求的情况下在您本人计算机上下载、存储、展示、查看、打印此文档：（a）本文只可作个人信息获取，不可用作商业用途；(b)本文内容不得篡改;(c)不得对本文进行转发散布;(d)不得删除文中商标、版权声明或其他声明；（e）引用本报告内容时，请注明来源于云安全联盟大中华区。 ©2023云安全联盟大中华区版权所有1 ©2023云安全联盟大中华区版权所有4致谢《ChatGPT的安全影响（SecurityImplicationsofChatGPT）》由CSA工作组专家编写，CSA大中华区秘书处组织翻译并审校。中文版翻译专家组（排名不分先后）：组长：王安宇翻译组：顾春辉侯汉书蓝靖李冰洁李晓明薛琨审校组：顾春辉侯汉书蓝靖李冰洁研究协调员：李宗澧感谢以下单位的支持与贡献：OPPO广东移动通信有限公司杭州虎符网络有限公司广州熠数信息技术有限公司深信服科技股份有限公司新华三技术有限公司浙江齐安信息科技有限公司注意：本白皮书为候选版。可能会不定期更新。 ©2023云安全联盟大中华区版权所有5英文版本编写专家作者:KurtSeifriedSeanHeideBogdanFilipVishwaManralLarsRuddigkeitWalterDulaEricE.CohenBillyToneySuproGhoseMarinaBregkou其他人员:StephenLumpe(封面插图，Midjourney提供协助)在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2023云安全联盟大中华区版权所有6序言伴随着数字化转型的进一步深入，人工智能（AI）的广泛应用，各行各业的生产效率迅速提升，人们的工作、生活和娱乐也越来越丰富和多样化。与此同时，数字世界中，安全、隐私的重要性日益凸显，数字化安全，成为数字世界行稳致远的基石。在数字化安全领域，AI是一个至关重要的话题，也是一把越来越锋利的双刃剑。从攻击者的角度，AI在网络攻击或者漏洞利用的生命周期各个环节，都可以使攻击者更广泛、更深入、效率更高的发现和利用网络漏洞，达成攻击目标。例如，基于MITREAtt&ck模型，在“侦查（recon）”环节，AI可以迅速和准确的收集目的系统的大量信息，为攻击者提供线索。而从防御者的维度，“人工智能用于安全（AIforSecurity）”早已成熟，并应用于一系列的安全产品中。如基于无监督学习的聚类算法用于垃圾邮件的自动化识别。ChatGPT的火爆，将AI的安全与隐私又一次置于聚光灯下，高智慧AI如果产生对人类的不良意识更将是全新的巨大威胁。安全从业者想了解ChatGPT能否有助于自己的工作，企业的管理者想了解能否使用ChatGPT带来业务优势，并规避风险，甚至大众也有AI时代安全与隐私的顾虑和担忧......相信此本白皮书能以专业的视角，清晰和准确的描述ChatGPT的安全影响，给读者信息、思考和启发。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2023云安全联盟大中华区版权所有7目录致谢..................................................................................................................................................................1序言..................................................................................................................................................................61.简介...............................................................................................................................................................82.ChatGPT是什么.........................................................................................................................................92.1机器学习模型................................................................................................................................112.2ChatGPT的局限性.........................................................................................................................122.3ChatGPT使用条款.........................................................................................................................132.4基准................................................................................................................................................142.5过去工具改变安全世界的例子....................................................................................................143.恶意行为者如何利用它来改进他们的工具集.........................................................................................153.1枚举................................................................................................................................................153.2立足点援助....................................................................................................................................173.3侦察................................................................................................................................................193.4网络钓鱼........................................................................................................................................203.5“多态”代码.................................................................................................................................214.防御者如何将AI运用到网络安全程序中..............................................................................................224.1过滤安全漏洞................................................................................................................................224.2生成安全代码（ChatGPT-Codex）..............................................................................................244.3转换安全代码（ChatGPT-Codex）.............................................................................................254.4漏洞扫描（ChatGPT-Codex）......................................................................................................264.5检测AI生成的文本......................................................................................................................284.6寻求网络安全问题解决方案........................................................................................................284.7与SIEM/SOAR集成.....................................................................................................................304.8将技术代码/文件转换为英文.......................................................................................................314.9解释安全补丁和更新日志............................................................................................................324.10创建脚本和转换编程语言..........................................................................................................324.11阅读并解释脚本和配置文件..........................................