3月15日,有两件事情最吸引国内网民的眼球:一件是牵动所有消费者的3·15晚会,另一件则是ChatGPT母公司OpenAI于当日凌晨发布了再次爆火出圈的GPT-4。
众所周知,作为央视3·15晚会的常客,食品安全问题几乎从未缺席。
例如,在2022年,晚会提及了两件食品安全问题,分别是“老坛酸菜造假”与“木薯粉冒充红薯粉”两类问题。
在2021年,晚会曝出蜜雪冰城被曝篡改食品日期,华莱士炸鸡掉地捡起重炸等。
2020年,南昌汉堡王被曝出没有按照规定使用足量食材,并且将已经过期的食材修改保质期后继续使用。
2019年,劣质辣条成为了食品安全曝光的第一枪。
……
说一个“热知识”,除了3·15已经曝光的这些食品安全问题之外,人工智能也是需要“进食”的,同样有食品安全问题。
图片来源于网络
甲:这人工智能也不是很聪明啊,在某些特定领域还是需要专门的训练,至少想让我失业还有一段距离;
乙:那当然,你还要给它“投喂”专业知识。
玩笑归玩笑,这段对话却说出了一个道理,想要完成从“人工智障”到“人工智能”的蜕变,“吃掉”大量专业知识并消化吸收是一个必须的过程。
比如你想让ChatGPT写文章,那么它至少应该看过数以百万记的各类体裁的文章;你想让ChatGPT写程序,那么它肯定得看过上亿行C/C++、JAVA、C#、Python等各类机器语言代码。
作为一款生成式语言预处理模型,ChatGPT通过连接大量的语料库来训练模型,这些语料库包含了真实世界中的对话,使得ChatGPT除了具备海量信息检索能力,还能更加准确理解人类语言背后的含义,并根据聊天的上下文进行互动。
从“毒饲料”到“毒AI”
与此同时,业界也表达了对人工智能的隐忧。
全国政协委员、奇安信集团董事长齐向东在两会期间接受记者采访时表示,人工智能不仅降低了网路攻击的门槛,也让攻击的数量激增,给网络安全带来了巨大挑战。
不少人曾经做过类似的尝试,比如让ChatGPT生成一段网络攻击代码或者批量钓鱼邮件,其业务水平并不弱于资深的渗透测试工程师。
但无论ChatGPT水平如何高超,和常见的网络攻击也并没有什么本质上的不同。钓鱼邮件该怎么拦截还是怎么拦截,攻击命令该怎么检测还是怎么检测。
有研究表明,当攻击者通过将恶意数据如伪装数据、恶意样本等,注入到用于类ChatGPT模型的训练集中,会让模型产生不正确或误导性的结果。这种看似正确、实则“一本正经的胡说八道”的回复,在商业化中会造成严重后果,甚至有法律风险。
作为一款具备强大学习和主动生成能力的人工智能模型,吃掉“毒大米”后的ChatGPT生产出来的就不一定是什么了,有可能是毒米粉,有可能是毒米糕,还有可能是毒爆米花……
潜在的软件供应链风险
有媒体曾列出了假如ChatGPT能够取得规模化的商业应用,那么中短期内其潜在产业化方向主要包括归纳性的文字类工作、代码开发相关工作、图像生成领域、智能客服类工作。
一打眼看过去,代码开发相关工作显得格外显眼。目前已有不少爱好者尝试使用ChatGPT写出一段代码,并且对其代码水平给出了非常高的评价:“这代码本身干净的都不知道跟谁说道理去,这让程序员咋活嘛。”
那么问题来了,ChatGPT写的代码会有漏洞吗?
如果上述过程最终实现,那么这就是一次典型的软件供应链投毒事件,而且这种攻击手法将比现在常见软件供应链攻击手法更为隐蔽。
2020年12月13日,国外知名安全公司曝光了SolarWinds(知名软件提供商)旗下的Orion基础设施管理平台的发布环境遭到黑客组织入侵,黑客篡改了其中某个组件源码,添加了后门代码,该文件具有合法数字签名,并伴随软件更新下发到了大量客户中。
其流程大致如下:
不过,无论攻击者使用了多么高明的攻击手法,由于需要攻破SolarWinds服务器并植入恶意代码,一定会留下蛛丝马迹。
比如在此次攻击事件中,调查发现攻击者通过技术手段获取了SolarWinds内网高级权限。
但攻击者如果是ChatGPT就完全不同了,没有人会怀疑它的忠诚度。即便怀疑,也找不到任何证据。
除非,安全人员能找到ChatGPT所写代码的漏洞!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...