2023年ChatGPT改变信息安全领域的三种姿势

2022年11月30日开放公测以来，ChatGPT风潮席卷全球。对于多年来受各种差强人意的人工智能（AI）和机器学习“创新”所困扰的安全行业来说，这些反应很能说明问题。许多人都非常看好ChatGPT的潜力，认为AI真正变革信息安全领域的时刻终于到来了。

但现实情况也相当令人清醒，因为已经有无数案例表明各种类型的黑帽子黑客也能靠ChatGPT“大展神威”。最初的概念验证实验中，纽约大学教授Brendan Dolan-Gavitt用ChatGPT利用了一个缓冲区溢出漏洞。其他例子还包括极速编写恶意软件，以及撰写语法正确、以假乱真的网络钓鱼电子邮件。

网络安全领域的AI武器化不是什么新鲜事，但ChatGPT最令人兴奋的是它有可能补上信息安全最大的短板——人才短缺，无论在信息安全技术的广度还是深度（即专业化）上。具体讲，2023年，ChatGPT会在三个方面改变信息安全领域。

促进众包威胁情报

很长一段时间以来，信息安全行业想要努力实现的愿景之一就是成功众包威胁情报，能够看清垂直行业里众多公司的当前状况。但很遗憾，实现这一愿景的最大障碍就是各公司间缺乏共享情报所需的信任。

这是各个行业的信息共享与分析中心（ISAC）一直在努力解决的问题，而结果有好有坏。将来，ISAC可以采用ChatGPT模型及其自然语言接口，基于组织内部的隐式信任向其馈送ISAC成员提交的日志数据。然后，ISAC就能用ChatGPT关联网络连接、恶意IP地址和域名类别，以及类似的行为。关联结果可产生一组IDS规则供ISAC成员实现，用以保护自身免遭威胁侵害。ISAC还可藉此洞察整个行业的总体风险态势。

利用现有资源做更多事情

当前的经济不确定性迫使安全企业停止招聘新人入职，努力从现有资源身上榨出更多生产力。作为能力倍增器，ChatGPT在这方面非常有用，能让一名分析师完成多人才能完成的工作。

通才和入门级员工可以描述在警报和检测中看到的情况，然后要求ChatGPT破译这些观察结果，启动分类流程。帮助信息安全从业人员日常去混淆化可疑恶意代码就是个很实际的例子，这个过程通常需要一个小时以上才能完成。而借助ChatGPT，几秒钟就完事了。

ChatGPT还具备改变事件响应的潜力。安全团队可以利用现有模型和自然语言处理馈送事件相关的所有可用数据，并描述潜在响应的基本原理。然后，ChatGPT可以立即证明或证伪攻击推测。当下，完全解决一起事件需要事件响应主管、工程师和几名分析师辛勤工作数天。未来，这个过程可能根本就不需要分析师参与了。

推动恶意软件猫鼠游戏达到新高度

如今，恶意黑客每年新产出上亿恶意软件样本。因为全都需要手动编程，到底还是特征码检测能够搞定的有限数量。然而，ChatGPT横空出世后，黑客就可以对它说：“我想做A事，在B操作系统上干。”ChatGPT就会生成数十万次恶意软件迭代。

这意味着，检测引擎的机器学习模型必须能够更加快速地重新计算。这就复杂得多了，因为面对的是庞大得多的数据集。值得庆幸的是，ChatGPT会加强逆向工程过程，给反恶意软件工作一战之机。

举个例子，通用文件名是逆向工程面临的一大挑战，因为通用文件名不能提供找到其出处所需的上下文。想要确定是在什么系统上构建的，还需要投入更多的人力。二进制汇编代码的一些细微变化标志着最终结果的改变——例如，是为32位还是64位架构编写的？系统用的是小端字节序还是大端字节序？这些问题的答案决定了你阅读机器语言的方向（正向还是反向）。

如果缺乏上下文，以上种种都需要试错。ChatGPT能以闪电般的速度执行这些迭代，交给逆向工程师最终的汇编语言，继续下一步处理。逆向工程师可以用自然语言跟ChatGPT沟通，让ChatGPT说出它认为目标应用程序想干什么。更重要的是，ChatGPT可以大规模完成所有这些工作，分析几十万二进制样本，并向分析师证明所得。

ChatGPT还有助于反击常见的猫鼠游戏技术。例如，恶意软件通常包含嵌套循环等反逆向工程技术，让逆向工程师更难以跟踪当前和最终状态。而ChatGPT搞清这个问题比人工快得多。它还能分析恶意软件的遗传密码，看哪里可能存在代码复用，从而更快识别恶意软件作者的指纹。

长期影响

每次AI取得新进展，人们总会担忧自己会不会被取代。ChatGPT估计取代不了人类，反而会让我们成为更强大的信息消费者。力量倍增效应会在各个层面产生深远影响。可以预见，CISO会向ChatGPT馈送一系列相关风险信息，让ChatGPT给出完全适应其环境的各种策略和规程、事件响应计划等。

尽管ChatGPT不过是个研究预览，其变革安全从业人员工作方式的前景却令人振奋不已。