崔政強，高級工程師，原解放軍某網(wǎng)絡(luò)密碼領(lǐng)域技術(shù)專家，曾獲單位密碼破譯先進個人、三等功等榮譽，獲軍隊技術(shù)成果獎3項，二等獎一項，三等獎若干，一直從事與密碼相關(guān)的網(wǎng)絡(luò)攻防研究工作，是某獲國家技術(shù)進步一等獎小組成員之一。2016年響應(yīng)國家號召轉(zhuǎn)業(yè)地方，現(xiàn)為上海網(wǎng)嶠信息空間技術(shù)研究院網(wǎng)絡(luò)安全所所長，主要參與網(wǎng)絡(luò)攻防對抗課題的技術(shù)攻關(guān)與研究工作。

一、以習(xí)近平總書記關(guān)于網(wǎng)絡(luò)強國的重要思想指導(dǎo)網(wǎng)絡(luò)安全工作 

習(xí)近平總書記高度重視網(wǎng)絡(luò)安全工作，提出了一系列新理念、新思想、新戰(zhàn)略，形成了關(guān)于網(wǎng)絡(luò)強國的重要思想，為做好網(wǎng)絡(luò)安全工作提供了根本遵循和強大動力。習(xí)近平總書記指出：“維護網(wǎng)絡(luò)安全是全社會共同責(zé)任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡(luò)安全防線。”

生成式人工智能是當今科技領(lǐng)域的熱點話題，不僅在學(xué)術(shù)界引起了廣泛關(guān)注，也在工業(yè)界得到了廣泛應(yīng)用。在這個數(shù)字化時代，新技術(shù)的快速迭代已經(jīng)深刻地改變了我們的生產(chǎn)生活方式。在很多領(lǐng)域都取得了驚人的成果，比如智能語音識別、人臉識別、自動駕駛等。這些技術(shù)的成功應(yīng)用，為我們展示了科技的無限潛力。

盡管生成式人工智能已經(jīng)取得了很多成功，但是它們的應(yīng)用仍面臨著很多挑戰(zhàn)。比如如何處理大規(guī)模數(shù)據(jù)、如何解決算法偏見、如何保護數(shù)據(jù)隱私等等。特別是生成式人工智能的濫用，國家、個人等大數(shù)據(jù)的流失對國家安全產(chǎn)生了較大威脅。

我國也注意到這些威脅在日益突出，國家互聯(lián)網(wǎng)信息辦公室在4月11日就發(fā)布了《生成式人工智能服務(wù)管理辦法（征求意見稿）》公開征求意見的通知。通知提到“為促進生成式人工智能技術(shù)健康發(fā)展和規(guī)范應(yīng)用，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)，國家互聯(lián)網(wǎng)信息辦公室起草了《生成式人工智能服務(wù)管理辦法（征求意見稿）》，現(xiàn)向社會公開征求意見。”其中一共起草了20條意見。

二、ChatGPT對網(wǎng)絡(luò)安全帶來了巨大影響 

2023年最重大的科技話題無疑是生成式人工智能，ChatGPT是生成式人工智能的代表，其突破之前決策式AI基于規(guī)則的算法模型框架，生成式人工智能革命性創(chuàng)新的根本在于將邏輯和倫理以算法的形式植入，并產(chǎn)生新的數(shù)據(jù)，為算法植入了思想和靈魂，盡管其智能水平與人類仍有較大差距，但生成式人工智能在可無限擴展的算力和數(shù)據(jù)加持下，其具有無比的成長性和發(fā)展前景。

ChatGPT推出短短五天時間注冊用戶數(shù)就超過了100萬，目前這一數(shù)據(jù)已經(jīng)突破了1億，隨著用戶數(shù)量的激增，生成式人工智能帶來的網(wǎng)絡(luò)安全問題也被無限放大，微軟近期推出Microsoft Security Copilot將下一代AI技術(shù)內(nèi)置到網(wǎng)絡(luò)安全系統(tǒng)中，將網(wǎng)絡(luò)安全防護產(chǎn)品作為首個與生成式人工智能能力結(jié)合的產(chǎn)品發(fā)布，就可以看到網(wǎng)絡(luò)安全在人工智能領(lǐng)域的重要性，或者網(wǎng)絡(luò)安全本身就是生成式人工智能的一個場景應(yīng)用。生成式人工智能對網(wǎng)絡(luò)安全帶來了巨大而深刻的影響，它既被用來改進和加強網(wǎng)絡(luò)安全解決方案，幫助安全分析師更快地分類威脅和修復(fù)漏洞，也被黑客用來發(fā)動更大規(guī)模、更復(fù)雜的網(wǎng)絡(luò)攻擊。我們都會面臨哪些風(fēng)險呢？

1、生成式人工智能帶來的網(wǎng)絡(luò)安全新威脅

首先，從開展網(wǎng)絡(luò)攻擊的角度來看，生成式人工智能如果在濫用上偏向于黑客。生成式人工智能會提供黑客、惡意者所要求的內(nèi)容，將極大地有利于制作釣魚電子郵件。生成式人工智能可以快速地創(chuàng)建大量真假難辨的網(wǎng)絡(luò)釣魚電子郵件，甚至還可以創(chuàng)建非常逼真的虛假配置文件，滲透進入過去被認為機器不適合或不擅長的領(lǐng)域（如 LinkedIn等等），偽造出令人信服的資料甚至圖片。例如做出一個本人都難以分辨真假的圖片，把一個實際存在的真人代入一個不存在的場景，等等。

許多網(wǎng)絡(luò)釣魚電子郵件很容易識別，尤其是當由非母語人士撰寫時。然而，ChatGPT可以使這項任務(wù)變得更加容易和更有說服力。黑客可以創(chuàng)建現(xiàn)有公司電子郵件的數(shù)據(jù)集，以創(chuàng)建一個可以快速輕松地生成網(wǎng)絡(luò)釣魚電子郵件的工具。網(wǎng)絡(luò)釣魚電子郵件可以為黑客提供一種獲取系統(tǒng)訪問權(quán)限并部署惡意軟件或勒索軟件的方法，從而可能造成嚴重損害。隨著ChatGPT不斷改進，它將成為惡意行為者越來越強大的工具。

其次，網(wǎng)絡(luò)攻擊者正在利用ChatGPT的流行來分發(fā)適用于Windows和Android的惡意軟件，將毫無戒心的受害者引導(dǎo)至網(wǎng)絡(luò)釣魚頁面。例如攻擊者使用域名空間“chat-gpt-pc.online”提供下載 ChatGPT Windows客戶端軟件為幌子，使用名為Redline的惡意軟件感染受害者機器，進而竊取受害用戶信息。

研究人員已經(jīng)在Google Play和第三方Android 應(yīng)用商店中發(fā)現(xiàn)虛假ChatGPT應(yīng)用，以將可疑軟件推送到人們的移動設(shè)備上。例如50多個使用ChatGPT圖標和相似名稱的惡意應(yīng)用程序，所有這些應(yīng)用程序都是假冒的，并試圖在用戶的設(shè)備上進行有害活動。

有報導(dǎo)的示例是“chatGPT1”，這是一款短信計費欺詐應(yīng)用程序，以及“AI Photo”，其中包含Spynote惡意軟件，可以從設(shè)備中竊取通話記錄、聯(lián)系人列表、短信和文件。

更為令人擔憂的是，生成式人工智能可以極大地加速惡意軟件的開發(fā)速度，目前已經(jīng)看到有黑客正在使用生成式人工智能來開發(fā)惡意軟件。這種快捷的開發(fā)直觀的結(jié)果就是它有助于更快地利用漏洞，在漏洞披露后的第一時間即可開發(fā)出直接利用漏洞來開展攻擊的工具。

有網(wǎng)絡(luò)安全研究人員聲稱，他利用ChatGPT開發(fā)了一個零日漏洞攻擊程序，可以從被攻擊的設(shè)備中竊取數(shù)據(jù)。令人震驚的是，該惡意軟件甚至繞過了反病毒平臺VirusTotal上所有反惡意軟件的檢測。該研究人員一開始直接要求ChatGPT開發(fā)惡意軟件，但這觸發(fā)了聊天機器人的防護機制，以道德理由直截了當?shù)鼐芙^執(zhí)行這項任務(wù)。然后，他發(fā)揮創(chuàng)意要求人工智能工具在手動將整個可執(zhí)行程序集中之前插入小段的輔助代碼，結(jié)果使ChatGPT輸出了包含入侵能力的惡意代碼。

由于生成式人工智能的迭代和改進速度驚人，依托它來開展的網(wǎng)絡(luò)攻擊能力水平能得到同步進化，可以說它在發(fā)現(xiàn)漏洞方面越來越快、越來越聰明，在漏洞利用方面越來越及時、越來越高效，新發(fā)現(xiàn)的漏洞的武器化時間必將越來越短，對云、網(wǎng)、端的安全威脅也越來越大。

生成式人工智能大大降低了威脅參與者基于技能的門檻。壓縮了發(fā)起一次有效攻擊的成本，未來將激增來自各種不同維度的威脅，甚至一次可怕的大停電時間就是一個初級者甚至是一名外行人在AI的協(xié)助下完成。

2、應(yīng)對生成式人工智能帶來的網(wǎng)絡(luò)安全威脅

一個事物都有它正反兩面，生成式人工智能在網(wǎng)絡(luò)安全方面給我們帶來新的風(fēng)險，同時也為網(wǎng)絡(luò)安全防御帶來了新的機遇，我們應(yīng)該從以下幾方面來應(yīng)對：

（1）提升網(wǎng)絡(luò)安全的智能水平

目前，安全編排、自動化和響應(yīng)（SOAR）工具在網(wǎng)絡(luò)安全策略中越來越受歡迎。由于SOAR具有減少應(yīng)對安全威脅所需的人為干預(yù)能力，利用生成式人工智能這樣的人工智能來協(xié)助網(wǎng)絡(luò)安全策略的部署和動態(tài)調(diào)整，可以大大減輕網(wǎng)絡(luò)安全的工作量和工作強度，可以用更多的時間來處理AI無法處理的創(chuàng)造性工作。另一方面，他山之石可以攻玉，生成式人工智能可以降低人為錯誤的可能性。任何網(wǎng)絡(luò)安全系統(tǒng)的關(guān)鍵弱點之一是人為因素，通過盡可能多地利用生成式人工智能來自動化生成解決方案，網(wǎng)絡(luò)安全公司有望減少人為錯誤導(dǎo)致黑客攻擊的可能性。

（2）輔助安全從業(yè)人員

生成式人工智能可以通過進行研究、撰寫報告、創(chuàng)建處理各種事件的腳本和檢查數(shù)據(jù)來幫助輔助安全從業(yè)人員。可以使用生成式人工智能的分析結(jié)果來快速尋找應(yīng)對網(wǎng)絡(luò)風(fēng)險的最佳方法。它可以與安全管理團隊深度配合，特別是那些處理腳本、惡意軟件分析和取證的團隊?？梢岳蒙墒饺斯ぶ悄芫帉懘a，特別是事務(wù)性處理程序代碼，生成式人工智能可以多種語言為他們編寫這些腳本，可以管理各種格式（LEAF、CEF、Syslog、JSON、XML等）。

（3）提高安全團隊的效率

生成式人工智能能幫助IT和安全團隊變得更加高效，實現(xiàn)自動和/或半自動漏洞檢測和修復(fù)以及基于優(yōu)先級的風(fēng)險評估等工作。過去，可以分析數(shù)據(jù)安全的人工智能對于面臨資源有限的IT和安全團隊來說非常稀缺，局限點在于需要海量數(shù)據(jù)的訓(xùn)練它才能理解特定環(huán)境中的什么是“正常”情況什么是“異常”情況，因此實施起來極其復(fù)雜。但是生成式人工智能大大簡化了這樣的過程，它的超強理解力給安全團隊帶來了極大的方便，使得自動或半自動漏洞檢測與修復(fù)不僅可行且高效起來。

總之，新技術(shù)的快速發(fā)展和迭代給網(wǎng)絡(luò)安全帶來了前所未有的挑戰(zhàn)。生成式人工智能技術(shù)的安全，廣泛滲透背景下對網(wǎng)絡(luò)安全的影響，云、網(wǎng)、端面臨的技術(shù)安全隱患等都是需要重視和應(yīng)對的問題。企業(yè)需要在加強安全防護、加強安全意識教育、加強技術(shù)研發(fā)和創(chuàng)新、加強國際合作、強化法律法規(guī)的制定和執(zhí)行、加強社會責(zé)任和公益活動等方面，共同應(yīng)對網(wǎng)絡(luò)安全威脅，保障網(wǎng)絡(luò)安全和穩(wěn)定。只有通過共同努力，才能建立一個安全、穩(wěn)定、和諧的數(shù)字化社會。