ChatGPT擔綱資安分析師  研究員：偶有誤報

編譯／鄭智懷

自ChatGPT推出以來，如何利用該軟體發動攻擊，以及建立反制之道成為資安界近來熱門話題之一。資安業者卡巴斯基（Kaspersky）驗證ChatGPT對網路攻擊的了解程度，以及是否有助於辨別惡意軟體的研究發現，雖然該軟體略有缺憾，通報錯誤率卻只有千分之四。

該公司安全事件應變小組負責人Victor Sergeev指出，利用滲透測試工具如Mimikatz 和 Fast Reverse Proxy，針對ChatGPT是否能正確找出惡意軟體或網站的實驗顯示後者無法辨別勒索軟體WannaCry的雜湊函數（Hash Function）；而對於進階持續性滲透攻擊（APT），以及如FIN7等惡意網頁的分析，也無法精準提出其中問題。

在下一步測試中，ChatGPT一挽頹勢，從137個運作中的程式揪出2個潛藏其中的惡意軟體；識破惡意軟體的安裝，以及利用混淆技術躲避檢測的活動。

Victor Sergeev表示，總共3,577次測試中，ChatGPT只有17次誤報，錯誤率僅有千分之四。

對於本次實驗結果，Victor Sergeev認為，ChatGPT的加入有助於減少資安工作的開銷成本，而且確實只有相當低的錯誤率。同時，正確的問題也能協助研究者或開發者得到更有價值的答案。

然而，Victor Sergeev也警告，ChatGPT在實驗過程中所顯示的錯誤也不容忽視，特別是在其學習機制下可能會延續錯誤及放大類似問題所造成的影響。換言之，資安人員不應過度仰賴ChatGPT等基於大型語言模型（LLM）編寫的人工智慧（AI）工具。

Victor Sergeev接著提到，上傳機敏資料至ChatGPT等人工智慧工具也可能導致資料外洩，或是是否侵犯智慧財產權等各種問題，這些都是相關從業人員必須仔細思量的潛在風險。

資料來源：Dark Reading

瀏覽 500 次