能写漏洞PoC?网红人工智能ChatGPT的十大妙用

GoUpSec点评:

2022年最后一个季度人工智能内容生成技术取得了可怕的进步!从精确发现代码中的安全漏洞到随心所欲地写一篇思路缜密论据详实的文章,或开发一段完整的功能代码块,OpenAI最近推出的ChatGPT测试版本彻底改变了游戏规则,它展现出的高成熟度的文本表达和代码实现能力让无数科技大咖大受震撼,无数知识工人包括网络安全人士的职业甚至命运都可能面临一次重大机遇或者挑战!

上周,OpenAI研究实验室推出了ChatGPT的公共预览版,以期获得用户的众包反馈。ChatGPT初看上去只是一个人畜无害,界面简单的网页聊天机器人,类似于电商网站上常见的客服机器人,但几天测试下来,不少科技大咖惊呼它可能是21世纪最具颠覆性的人工智能技术突破!

ChatGPT的后台由GPT-3.5系列模型提供支持,使用Azure AI超级计算基础设施上的文本和代码数据进行训练。其回答人类问题的人工智能能力已经得到大幅提升,可以得体地回复技术性的、抽象或具体的,甚至看似荒诞的请求/问题,例如:

如果你觉得ChatGPT不过是另外一个“小冰”或者Siri,那就大错特错了!

“话疗”时代已经到来:ChatGPT的十大妙用

2022年第四季度,人工智能内容生成技术掀起了“用嘴创作”甚至“聊天生产”的热潮,从数月前就开始火爆全网的人工智能绘画,到今天的“万事通”ChatGPT聊天机器人,人工智能内容生产已经开始颠覆摄影、绘画、视频、写作甚至编写代码和查补漏洞!可以说,只有你想不到、说不清,没有ChatGPT做不到的事。

以下是网络安全和科技人士用ChatGPT做的十件很酷的事情:

1.调试程序代码,并修复bug!

想知道为什么代码无法执行?将开发之外的调试工作交给AI,它不仅会发现,还会修复bug,甚至还能用简洁的语言向你解释修复方法!

2.检测安全漏洞,创建PoC漏洞

让网络安全人员感到兴奋的是,ChatGPT居然能找到代码中的漏洞,甚至能用简洁专业的语言告诉你评判原因!

但接下来ChatGPT所做的,让所有的网络安全人士背后直冒冷汗!网络安全研究人员Mazin Ahmed请求ChatGPT提供一个有效的概念验证(PoC)漏洞利用,而ChatGPT真的做到了:

开发安全研究人员,也许是时候找另一份工作了。

3.Cosplay一个虚拟机(VM)

研究科学家乔纳斯·德格雷夫(Jonas Degrave)要求ChatGPT“扮演”一个功能齐全的Linux终端,并直接从Web浏览器与“虚拟机”交互:

ChatGPT扮演一个标准功能的Linux终端

实际上,并没有真正的Linux虚拟机在幕后运行——对命令行输入的响应完全基于与AI的对话,但ChatGPT启动的伪VM界面和功能交互都能达到以假乱真的程度。

4.用COBOL语言编写代码

ChatGPT甚至能用全世界最稀缺的开发技能——COBOL语言编程,GoUpSec尝试让ChatGPT写一小段COBOL代码,结果如下:

对那些为COBOL开发人员日益老化稀缺而发愁的世界500强企业和金融机构来说,ChatGPT展示的COBOL技能让它们看到“COBOL永垂不朽”的希望。

5.执行nmap扫描

类似于之前cosplayLinux终端,安全研究人员Soufiane Tahiri发现ChatGPT也会逼真地扮演一个nmap程序执行任务(并没有真的nmap程序运行):

6.模仿网红发微博

ChatGPT可以模仿你最喜欢的网红大V、著名人民艺术家、地产大亨、著名政治家、甚至你自己的语气发微博和朋友圈,这个功能太可怕了。

下面是网络安全专家Ken Westin要求ChatGPT按照自己的语言风格写的推文,居然毫无违和感:

7.免代码开发软件

“用嘴开发软件”是很多非技术人员的终极梦想,ChatGPT把这个梦想变成了现实,BleepingComputer的编辑要求ChatGPT写一个PHP程序扫描主机名上的开放端口,结果ChatGPT输出一个看上去像端口扫描器的代码实现:

机器学习爱好者和UNCC助理教授Benjamin J Radford要求ChatGPT“将井字游戏的代码写入文件,使用gcc编译该文件,然后执行该文件。”

ChatGPT又一次出色完成了任务:

8.逆向工程shellcode,用C语言重写代码

有了前面的经历,ChatGPT并不出人意料地又一次完成了任务。

安全专家Konrad Bechmann感慨道:“这玩意太暴力了,它解码了我之前生成的ascii编码的shellcode,解释其功能,并用C语言重写了代码…”

除了用指定语言重写代码,ChatGPT还能轻松完成一些简单的任务,例如解码base64符串和反转(已知)字符串的MD5哈希值。

这对于逆向工程师和恶意软件分析师调查那些被混淆、重复打包、编码或缩小的恶意软件样本特别有用。

9.联网操作

公开测试的ChatGPT预览版的后端模型并未联网(离线模型),但它却能根据指令(看起来像)连接到互联网服务完成操作指令:

10.人工智能虚构

这次ChatGPT惊掉了测试人员的下巴,它居然会“虚构”——能虚构深层嵌套的假想场景,例如假扮自己是一个量子计算终端,为你描述虫洞另外一端的某个宇宙角落的景观,或者为你搭建一个虚拟的聊天室,而ChatGPT则扮演其中一个女网友与你搭讪。对纯虚拟场景“理性会话”的轻松编排和驾驭,不禁让人开始担心在DeepFake之后,人工智能内容生成技术在社会工程以及心理战方面将有着更为可怕的应用潜力。

前一篇AMD、ARM、HPE、戴尔等15家服务器厂商产品曝出严重漏洞
后一篇网络安全行业掀起裁员风暴,CISO如何面对?