ChatGPT的廣泛應用,會帶來哪些網絡安全危機?
2022年11月,OpenAI推出革命性的AI語言模型ChatGPT,數百萬用戶被其強大功能折服。然而對很多人來說,最初的好奇很快變成了真心的憂慮,擔心該工具可能方便動機不良者作惡。具體而言,ChatGPT可能為黑客破壞高級網絡安全軟件提供了新方法。2022年全球數據泄露事件增加38%,網絡安全行業已經廣受質疑,如今管理者必須認識到AI的影響力在日益增長,并采取相應行動。
制定解決方案之前,必須確定ChatGPT廣泛應用帶來的關鍵威脅。本文將研究這些新風險,探索網絡安全專業人員應對所需的培訓和工具,并呼吁政府采取監督措施,確保AI應用不會對網絡安全造成影響。
盡管基于語言的更早期AI已經開源(或向公眾開放)多年,ChatGPT顯然是迄今為止最先進的迭代版本。尤其是,ChatGPT能在拼寫、語法和動詞時態錯誤的情況下與用戶順利交談,讓人感覺聊天窗口另一端就像真人一樣。從黑客的角度來看,ChatGPT改變了行業的游戲規則。
美國聯邦調查局的《2021年互聯網犯罪報告》(2021 Internet Crime Report)發現,網絡釣魚(Phishing Scams)是美國最常見的信息技術威脅。然而,由于經常出現拼寫和語法錯誤,加之往往措辭尷尬,多數網絡釣魚詐騙都很容易識別,尤其當詐騙者的母語并非英語時。然而ChatGPT可以為全球各地的黑客提供近乎流利的英語,“協助”網絡釣魚活動。
對網絡安全管理者來說,由于復雜的網絡釣魚攻擊增加,需要立即關注并采取可行的解決方案。管理者要為IT團隊配備工具甄別“突然”收到的郵件,確定哪些內容由ChatGPT生成,哪些為人工生成。幸運的是,“ChatGPT檢測”(ChatGPT Detector)技術已經存在,并且很可能與ChatGPT同步發展。理想情況下,IT基礎設施將集成AI檢測軟件,自動篩選并標記AI生成的郵件。此外還有一點很重要,各級員工都要接受最新網絡安全意識和預防技能的常規培訓和再培訓,格外關注利用AI技術的網絡釣魚詐騙。不管怎樣,該行業和廣大公眾都有責任繼續倡導先進的檢測工具,不能只是在吹捧AI不斷壯大的能力。
ChatGPT精通寫代碼和其他編程工具,不過這款AI被設置為不可生成惡意或黑客攻擊代碼。如果有人提交黑客代碼需求,ChatGPT將告知用戶該軟件目標是“遵守道德規范和政策的同時,協助完成有益的合乎道德的任務”。
然而,只要采取一定技巧和刺激,惡意行為者當然有可能操縱ChatGPT,欺騙AI生成黑客代碼。事實上,黑客已經在為此謀劃。
例如,以色列安全公司Check Point最近在著名的地下黑客論壇上發現黑客發布了一篇帖子,聲稱正測試聊天機器人以重新編寫惡意軟件。如果出現一條類似線索,可以肯定地說,世界各地和“暗網”中肯定存在更多。網絡安全專業人員需要適當培訓(即不斷提高技能)和資源應對日益增長的威脅,無論來自AI還是其他方面。
網絡安全專業人員也有機會自行配置AI技術,從而更及時地偵測并防御AI生成的黑客代碼。盡管公共輿論對ChatGPT為惡意行為者提供的能力紛紛表示失望,但重要的是記住,善意行為者同樣可以利用該能力。除了盡力防止與ChatGPT相關的威脅,網絡安全培訓還應該指導網絡安全專業人員如何利用ChatGPT。隨著技術快速發展開啟網絡安全威脅的新時代,必須審視各種可能性并推動新培訓跟上步伐。此外,軟件開發人員應該努力開發生成式AI,此類AI可能比ChatGPT更強大,并且專門為人工安全運營中心(Security Operations Centers , SOC)設計。
人們對惡意行為者利用AI幫助黑客入侵外部軟件展開了大量討論,卻很少討論ChatGPT本身被黑客入侵的可能性。一旦ChatGPT遭到入侵,惡意行為者就能利用那些通常被視為可信的來源傳播虛假信息。
據稱,ChatGPT已采取措施識別并避免回答帶有政治色彩的問題。然而,如果AI被黑客入侵操縱,提供看似客觀但實際上隱藏很深的偏見信息或扭曲視角的信息,AI就可能變成危險的宣傳機器。ChatGPT遭入侵后傳播錯誤信息的能力可能令人擔憂,所以政府可能需要加強對先進AI工具和OpenAI等公司的監督。
拜登政府已發布《人工智能權利法案藍圖》(Blueprint for an AI Bill of Rights),但隨著ChatGPT推出,風險比以往都高。若要更進一步,就需要采取監督措施,確保OpenAI和其他推出生成式AI產品的公司定期審查安全功能,降低黑客入侵的風險。此外,在AI開源之前,新推出的AI模型應符合最低安全措施門檻。例如,3月初必應(Bing)推出了自家的生成式AI,Meta也即將啟用本公司開發的強大工具,還有更多科技巨頭正在摩拳擦掌。
在人們不斷贊嘆ChatGPT和新興生成式AI市場潛力之時,采取制約和平衡之道對于確保該技術不會走向失控至關重要。不僅網絡安全管理者要對員工再培訓并提升相關能力,政府發揮更多監管作用,人們對AI的心態和態度也要全面轉變。
我們必須重新構想AI的基礎,尤其是像ChatGPT之類的開源軟件。在新工具向公眾開放之前,開發人員要問問自己該工具的功能是否合乎道德,新工具是否存在切實禁止外部操縱的基礎“編程核心”(programmatic core)?如何建立相關標準?如果未能做到,如何確保開發人員對之負責?目前各組織制定了偏不可知論的標準,以確保從教育技術到區塊鏈,甚至數字錢包領域,不同技術之間的交流安全且合乎道德。最關鍵的是,生成式AI也要應用同樣的原則。
ChatGPT的對話創下歷史新高,隨著技術不斷進步,技術管理者必須開始思考這一現象對團隊、公司乃至全社會意味著什么。否則,科技公司不僅會在利用和部署生成式AI以改善業務成果方面落后于競爭對手,也無法預測并防御可能操縱技術牟取私利的新一代黑客。在聲譽和收入岌岌可危的背景之下,科技行業必須團結起來,制定合適的保護措施,讓ChatGPT革命值得歡呼,而不是讓人心生恐懼。
作者簡介:
吉姆·切爾頓在全球教育技術公司Cengage Group擔任首席技術官。目前他還擔任該公司網絡安全培訓業務Infosec的代理總經理。
本文來自微信公眾號“哈佛商業評論”(ID:hbrchinese),作者:吉姆·切爾頓(Jim Chilton),編輯:劉雋,36氪經授權發布。
