ChatGPT或将带来新的产业安全隐患
3月21日,中国产业互联网发展联盟、中国网络空间新兴技术创新论坛、腾讯安全、腾讯研究院联合推出《2023产业互联网安全十大趋势》。报告指出,2023年,外部欺诈威胁、企业出海合规与安全风险、供应链风险、数据泄露、AIGC隐形危机、多重勒索攻击等诸多安全挑战依然存在,不同发展阶段的企业安全水位也严重不均衡。产业应当以一体化的安全免疫力建设思路,尽快弥补安全短板,筑牢数字化底座。
近来,伴随ChatGPT4、百度文心一言等大模型的接连发布,AIGC赛道的热度持续攀升,成为科技界最热的风口之一。各大厂商忙着抢占大模型高地,资本市场也表现出极大的热情,相关投融资热度开始飙升。比如,由李开复创新工场孵化的AI企业——澜舟科技刚成立不久,就推出了中文语言模型——孟子轻量大模型,近日火速完成了Pre-A+轮融资。前京东高管周伯文创立的衔远科技也已完成数亿元天使轮融资。
知其安创始人聂君在接受记者采访时指出,ChatGPT或将带来一些全新的产业安全隐患。首先是数据安全隐患。“很多用户在试用过程中,会把一些像代码这样的敏感信息放到这里面去。ChatGPT所有这些服务器、数据都是保存在国外,这些敏感数据也将被保存在国外,这是目前我们看到的一个比较大的风险。”他说道。
第二,ChatGPT为用户提供的结果并不具备验真或者验伪的作用,如果直接拿ChatGPT结果来做相应的安全结果的确认,也会带来一些隐患的问题。“从攻击者角度来讲,ChatGPT会带来更多攻击者效率提升,”腾讯安全策略发展中心总经理吕一平对记者说道,“特别在诈骗场景下,或者在钓鱼场景下,安全专业领域有一个用词叫‘社工’,指社交攻击的方式,就是通过跟你聊天,或者邮件沟通,诱使你去点击恶意链接,或者会在毫不感知情况下下载了一些恶意软件或者工具,可能会感染你的电脑或者偷窃你的数据。原来像这种怎么做角色扮演,怎么做钓鱼剧本,需要有人扮演一个角色,肯定有一套说辞和口径,现在有了ChatGPT,就可以通过人工智能的方式来做剧本设计。”
以前,如果人工做这样一个剧本设计,其实花很长时间去做,因为网络攻击者要深入理解对方工作,要扮演HR、保险公司业务员等角色还需要对这些业务有比较清晰的了解。现在,通过ChatGPT可以大幅度提升剧本设计效率。
根据经验,以往社交诱骗中角色比较多,以前是HR、财务、保险、银行业务员等,但是未来场景下可能更多不同的设计角色出现,在ChatGPT的效率辅助下,会引发这种钓鱼攻击产生更多多样化角色、诱骗手段。
吕一平指出,安全是一个伴生属性,新技术的产生和应用一定会带来新的安全风险。对于我们做安全专业领域这个方向上面的同仁来讲,大家是始终关注新的技术发展,因为新技术发展带来新的风险,是需要我们应对的。
不过,聂君表示,目前确实也有不少安全行业从业者使用ChatGPT文档编写、材料整理这方面提升效率,或者把原先通过人工来完成的一些相对比较中低端的技术活会交给ChatGPT来做,比如解析日志、编写一些安全运营的策略等,在这些方面,ChatGPT对于产业安全也是具备一定的积极作用的。
在企业上云大趋势下,云原生安全的重要性愈发凸显。对于企业而言,要做安全建设首先是要满足业务需求,然后要考虑如何能够更好设计安全结构、安全体系、安全能力建设,更好满足这个业务的需求。这其实是一个很复杂的过程,可能需要通过不同安全厂商提供不同的安全产品和服务,来满足这个需求。这对很多企业来讲是一个很大的功课。
“云原生安全就是把安全做成一种云服务的形态提供给上云的企业,”吕一平建议称。尤其对于中小企业而言,可以通过合理的成本实现比较好的安全防护能力建设,让“安全”从一个奢侈品变成一个必需品。
聂君认为,安全从来不是独立存在,而是跟整个IT基础设施、研发结构相关的。很多安全问题做到最后,从根本上来看,是底层架构限制和制约了安全问题的解决。当前,由于云本身的整个IT基础结构发生了革命性的变化,在这个变化过程当中,需要把安全的能力嵌入到云环境里面,云原生安全解决方案将会带来比较革命性一些变化。