2024ChatGPT安全影響報(bào)告

ChatGPT安全影響報(bào)告4PAGE10PAGE10目錄序言 6簡(jiǎn)介 8ChatGPT是什么 9機(jī)器學(xué)習(xí)模型 11ChatGPT的局限性 12ChatGPT使用條款 132.4基準(zhǔn) 142.5過(guò)去工具改變安全世界的例子 14惡意行為者如何利用它來(lái)改進(jìn)他們的工具集 153.1枚舉 153.2立足點(diǎn)援助 173.3偵察 193.4網(wǎng)絡(luò)釣魚(yú) 203.5“多態(tài)”代碼 21防御者如何將AI運(yùn)用到網(wǎng)絡(luò)安全程序中 22過(guò)濾安全漏洞 22生成安全代碼（ChatGPT-Codex） 24轉(zhuǎn)換安全代碼（ChatGPT-Codex） 25漏洞掃描（ChatGPT-Codex） 26檢測(cè)AI生成的文本 28尋求網(wǎng)絡(luò)安全問(wèn)題解決方案 28與SIEM/SOAR集成 30將技術(shù)代碼/文件轉(zhuǎn)換為英文 31解釋安全補(bǔ)丁和更新日志 32創(chuàng)建腳本和轉(zhuǎn)換編程語(yǔ)言 32閱讀并解釋腳本和配置文件 34用于模糊測(cè)試和代碼測(cè)試的ChatGPT 36創(chuàng)建查詢(xún)，如YARA或KQL 37通過(guò)惡意提示詞攻擊ChatGPT 39圖解攻擊點(diǎn) 41用戶與ChatGPT建立連接 41選擇現(xiàn)有會(huì)話或發(fā)起新會(huì)話 42用戶輸入 42如何確保企業(yè)安全使用ChatGPT 44ChatGPT 44新必應(yīng) 45Azure認(rèn)知服務(wù) 46生成式AI技術(shù)的局限性和“怪癖” 46未來(lái)的攻擊與挑戰(zhàn) 489.結(jié)論 49參考文獻(xiàn) 51附錄-格式 53風(fēng)險(xiǎn)表 53熱力圖 54簡(jiǎn)介歡迎閱讀云安全聯(lián)盟第一份關(guān)于極為流行的生成式人工智能技術(shù)ChatGPT的安全影響的白皮書(shū)。企業(yè)、國(guó)家和網(wǎng)絡(luò)安全專(zhuān)家都在緊跟ChatGPT的熱度，試圖理解如何治理和使用該技術(shù)。為了幫助社區(qū)全面了解ChatGPT的背景，并確定適用于所有利益相關(guān)者的實(shí)際問(wèn)題，CSA迅速發(fā)布了本版白皮書(shū)。像ChatGPT本文旨在概述ChatGPT在網(wǎng)絡(luò)安全行業(yè)中的影響，但不深入探討人工智能的細(xì)節(jié)。我們將探討對(duì)理解ChatGPT能力至關(guān)重要的關(guān)鍵概念和領(lǐng)域，以及對(duì)企業(yè)的潛在影響。ChatGPT是什么ChatGPT是一個(gè)由OpenAI使用轉(zhuǎn)換器ChatGPT是一個(gè)由OpenAI使用轉(zhuǎn)換器（Transformer）深度學(xué)習(xí)算法訓(xùn)練的大語(yǔ)言模型，使用來(lái)自互聯(lián)網(wǎng)和其他來(lái)源的大量文本數(shù)據(jù)訓(xùn)練，旨在能夠理解自然語(yǔ)言，并對(duì)問(wèn)題和提示生成類(lèi)似人類(lèi)的響應(yīng)。ChatGPT所使用的轉(zhuǎn)換器（Transformer）架構(gòu)是基于注意力機(jī)制的思想構(gòu)建的，使得模型可以在不同的時(shí)間關(guān)注輸入文本的不同部分。這種注意力機(jī)制用于構(gòu)建文本的上下文表示，從而捕捉不同單詞和短語(yǔ)之間的含義和關(guān)系。在訓(xùn)練期間，模型會(huì)接收輸入文本并嘗試預(yù)測(cè)下一個(gè)單詞或單詞序列。這個(gè)過(guò)程會(huì)重復(fù)數(shù)百萬(wàn)次，模型逐漸學(xué)會(huì)生成合理、符合語(yǔ)法的回復(fù)，并能對(duì)各種各樣的提示和問(wèn)題做出回應(yīng)。當(dāng)向ChatGPT提出問(wèn)題或做出陳述時(shí)，該模型會(huì)利用其學(xué)習(xí)到的知識(shí)生成一個(gè)最可能合理且與輸入相關(guān)的響應(yīng)。ChatGPT的實(shí)現(xiàn)方式是通過(guò)比較輸入與其內(nèi)部語(yǔ)言表示并根據(jù)學(xué)習(xí)到的模式生成響應(yīng)?？偟膩?lái)說(shuō)，ChatGPT是深度學(xué)習(xí)和自然語(yǔ)言處理能力的驚人范例，有潛力在未來(lái)徹底改變我們與計(jì)算機(jī)和AI系統(tǒng)的交互方式。參考：?jiǎn)栴}：“您能向稍微具備技術(shù)背景的聽(tīng)眾解釋一下ChatGPT是什么以及它是如何工作的嗎？”日期：2023-03-08網(wǎng)站：/50（AlanM.Turing）計(jì)IBM（DeepBlue）·（GaryKasparov）2016（DeepLearning）算AlphaGoDeepBlue和AlphaGo20AIChatGPT（AI）AIAI 習(xí) 機(jī)器學(xué)習(xí)人工智能1AIAI除了采用提示和回復(fù)格式的基本網(wǎng)絡(luò)用戶界面外，OpenAI還提供了Whisper，一種基于神經(jīng)網(wǎng)絡(luò)的語(yǔ)音識(shí)別（語(yǔ)音轉(zhuǎn)文字）系統(tǒng)。他們還提供了應(yīng)用程序編程接口（API），使組織能夠無(wú)縫地將ChatGPT和Whisper集成到各種應(yīng)用程序、網(wǎng)站、產(chǎn)品和服務(wù)以及語(yǔ)音界面中。然而，ChatGPT的強(qiáng)大功能，特別是通過(guò)API的方式，存在潛在的風(fēng)險(xiǎn)，因?yàn)閻阂庑袨檎呖赡軙?huì)利用該工具為網(wǎng)絡(luò)攻擊提供便利。*為確保質(zhì)量，必須驗(yàn)證通過(guò)ChatGPT獲得的所有信息并驗(yàn)證輸出?？梢酝ㄟ^(guò)多種選項(xiàng)訪問(wèn)語(yǔ)言模型，例如聊天機(jī)器人界面、API和云服務(wù)。每個(gè)選項(xiàng)都針對(duì)不同的最終用戶，如個(gè)人用戶或企業(yè)客戶。有些解決方案為個(gè)人提供升級(jí)版，而另一些解決方案則專(zhuān)為商業(yè)用途設(shè)計(jì)，并且由于合作關(guān)系可能在特定的云平臺(tái)上提供。對(duì)于企業(yè)客戶，某些基于云的服務(wù)通過(guò)RESTAPI、軟件開(kāi)發(fā)工具包（SDK）或基于Web的界面提供對(duì)語(yǔ)言模型的安全、隔離的訪問(wèn)。這些服務(wù)可以與其他云產(chǎn)品集成，并支持虛擬專(zhuān)用網(wǎng)絡(luò)和通過(guò)目錄服務(wù)管理的身份驗(yàn)證等功能。隨著技術(shù)的不斷進(jìn)步，OpenAI和ChatGPT的集成速度正在以驚人的速度增加。許多應(yīng)用程序、平臺(tái)和工具都在利用這些AI模型的強(qiáng)大能力增強(qiáng)其功能和能力?？稍L問(wèn)以下鏈接了解一些當(dāng)前的集成，該鏈接提供了許多（但并非全部）現(xiàn)有鏈接的概述：/software/product/OpenAI/integrations/在此鏈接中，您將找到涉及OpenAI的各種集成列表，包括AI驅(qū)動(dòng)的代碼建議工具、聊天機(jī)器人平臺(tái)和搜索引擎等。請(qǐng)注意，此列表可能不是詳盡無(wú)遺的，因?yàn)樾碌募烧诓粩嗟亻_(kāi)發(fā)，現(xiàn)有的集成也在不斷地改進(jìn)中。隨著越來(lái)越多的企業(yè)和開(kāi)發(fā)者意識(shí)到類(lèi)似OpenAI和ChatGPT的AI模型的潛力，我們可以期待看到集成的數(shù)量和種類(lèi)將進(jìn)一步增長(zhǎng)。這種持續(xù)的擴(kuò)展可能會(huì)產(chǎn)生各種新型應(yīng)用程序、工具和服務(wù)，最終使得AI在眾多行業(yè)和領(lǐng)域中更加易于訪問(wèn)和使用。要了解關(guān)于特定的OpenAI模型及其功能的更多信息，請(qǐng)通過(guò)以下鏈接訪問(wèn)OpenAI的模型概述頁(yè)面：/docs/models/overview這個(gè)資源提供了關(guān)于各種OpenAI模型的全面信息，包括它們的特點(diǎn)和潛在應(yīng)用，可以幫助用戶做出明智的決策，確定哪個(gè)語(yǔ)言模型最符合要求。機(jī)器學(xué)習(xí)模型如圖1所示，OpenAI開(kāi)發(fā)了一系列模型解決復(fù)雜的任務(wù)。ChatGPT使用了OpenAI的三個(gè)模型系列，每個(gè)系列都有特定的用途：GPT-3:Codex成源代碼。每個(gè)模型都遵循特定的命名約定，包括版本信息，確保在整個(gè)平臺(tái)上具有清晰和一致的命名。有關(guān)AzureOpenAI服務(wù)模型的更多詳細(xì)信息，請(qǐng)參閱MicrosoftLearn上的AzureOpenAI文檔。ChatGPT的局限性當(dāng)AIOpenAIAI盡管有這些保護(hù)措施，但仍然有可能繞過(guò)這些限制，正如在有關(guān)直接攻擊的部分所述，將產(chǎn)生錯(cuò)誤或其他不良結(jié)果。ChatGPT的一個(gè)適當(dāng)?shù)谋扔魇且幻麑?shí)習(xí)生，渴望提供幫助，但偶爾缺乏領(lǐng)域特定知識(shí)（DSK）或?qū)I(yè)知識(shí)。此外，ChatGPT的DSK可能不準(zhǔn)確或過(guò)時(shí)，就像在StackOverflow等平臺(tái)上的過(guò)時(shí)答案一樣。文本摘要是ChatGPT局限性的另一個(gè)例子。AI可能會(huì)過(guò)分重視文本的某些方面，尤其是在查詢(xún)的表述不當(dāng)?shù)那闆r下。查詢(xún)的框架方式會(huì)對(duì)輸出結(jié)果產(chǎn)生重大影響。此外，ChatGPT在執(zhí)行復(fù)雜計(jì)算方面存在局限性。雖然它可以執(zhí)行簡(jiǎn)單的任務(wù)，如文本到Base64的轉(zhuǎn)換，但在更高級(jí)的計(jì)算，如哈希算法計(jì)算中則經(jīng)常會(huì)提供錯(cuò)誤的結(jié)果。ChatGPT在腳本生成方面也可能會(huì)出現(xiàn)基本錯(cuò)誤，例如在Python腳本中未包含必要的導(dǎo)入語(yǔ)句（import），導(dǎo)致代碼無(wú)法正常運(yùn)行。因此，建議將ChatGPT視為輔助技術(shù)而非替代技術(shù)。微軟以2022年制定的“負(fù)責(zé)任AI標(biāo)準(zhǔn)V2”管控對(duì)AzureOpenAI服務(wù)的訪問(wèn)。公司必須通過(guò)特殊的訪問(wèn)請(qǐng)求表格申請(qǐng)，安全框架采用內(nèi)容過(guò)濾器并保留提示信息30天，以方便負(fù)責(zé)任的AI團(tuán)隊(duì)調(diào)查。微軟還為制藥業(yè)和金融服務(wù)等高度監(jiān)管行業(yè)的客戶提供了一個(gè)單獨(dú)的流程，可以選擇退出某些功能，從而引發(fā)了有關(guān)滲透測(cè)試用例的潛在問(wèn)題。最后，訪問(wèn)GPT-4需要填寫(xiě)另外一個(gè)申請(qǐng)表格，并且必須首先完成第一個(gè)表格的申請(qǐng)。微軟在其2022年發(fā)布的“負(fù)責(zé)任AI標(biāo)準(zhǔn)V2”中制定了一些準(zhǔn)則，文件名為Microsoft-Responsible-AI-Standard-v2-General-Requirements-3.pdf。訪問(wèn)AzureOpenAI服務(wù)需要通過(guò)一個(gè)特殊的訪問(wèn)請(qǐng)求表格RequestAccesstoAzureOpenAIService申請(qǐng)。安全框架采用內(nèi)容過(guò)濾器，并將提示信息存儲(chǔ)30天，以便負(fù)責(zé)任的AI團(tuán)隊(duì)調(diào)查濫用問(wèn)題。AzureOpenAIAzureOpenAI最后同樣重要的是，訪問(wèn)GPT-4還需要一個(gè)新的申請(qǐng)表格AzureOpenAIGPT-4PublicPreviewWaitlist(M)，先通過(guò)第一個(gè)表格的申請(qǐng)是前提條件。ChatGPT使用條款在使用OpenAI服務(wù)，例如ChatGPT時(shí)，了解并遵守其使用條款至關(guān)重要。這些條款概述了可以訪問(wèn)和使用OpenAI的服務(wù)、產(chǎn)品和平臺(tái)的條件。如需查看完整的使用條款，請(qǐng)?jiān)L問(wèn)以下鏈接：/policies/terms-of-use/OpenAI的使用條款包括以下要點(diǎn)：APIOpenAIAPIOpenAI通過(guò)使用OpenAI“”O(jiān)penAI對(duì)確保在使用OpenAI的服務(wù)之前，仔細(xì)閱讀并理解其使用條款，因?yàn)樽袷厥褂脳l款對(duì)于保持積極和合法的使用體驗(yàn)至關(guān)重要。基準(zhǔn)ChatGPTCRFMCRFM（ComprehensiveReal-WorldFine-tuningModel）有關(guān)CRFM基準(zhǔn)的更多信息和深入見(jiàn)解，可以訪問(wèn)以下資源：CRFM（arX）CRFM過(guò)去工具改變安全世界的例子在過(guò)去，“新”黑客工具的發(fā)展和廣泛傳播，也會(huì)導(dǎo)致更廣泛的擔(dān)憂。一個(gè)值得注意的例子是撒旦(分析網(wǎng)絡(luò)的安全管理員工具)(/wiki/Security_Administrator_Tool_for_Analyzing_Networks）最初引起了廣泛的恐慌。然而，它最終并沒(méi)有成為一個(gè)普遍的問(wèn)題，而是發(fā)展成為一家商業(yè)公司，為各種安全標(biāo)準(zhǔn)要求提供必要的工具。例如，PCIDSS（支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)）條款11.2.2要求組織進(jìn)行內(nèi)外部漏洞掃描（至少每季度進(jìn)行一次），并跟蹤網(wǎng)絡(luò)的任何重大變化。惡意行為者如何利用ChatGPT改進(jìn)工具集本節(jié)將探討與惡意行為者利用AI技術(shù)增強(qiáng)其工具集相關(guān)的潛在風(fēng)險(xiǎn)。隨著AI變得越來(lái)越強(qiáng)大和越來(lái)越容易獲得，在各種網(wǎng)絡(luò)攻擊階段濫用AI的可能性也在增加。我們將深入研究以下小節(jié)，詳細(xì)介紹如何在網(wǎng)絡(luò)攻擊的不同方面，利用AI驅(qū)動(dòng)的系統(tǒng)，包括枚舉、立足點(diǎn)協(xié)助、偵察、網(wǎng)絡(luò)釣魚(yú)和多態(tài)代碼的生成。通過(guò)研究這些主題，我們旨在提高對(duì)潛在威脅的認(rèn)識(shí)，并強(qiáng)調(diào)強(qiáng)有力的安全措施和負(fù)責(zé)任的AI開(kāi)發(fā)的必要性。除了主要內(nèi)容外，本文的某些章節(jié)還包括簡(jiǎn)要的風(fēng)險(xiǎn)審查和/或?qū)Σ哂行栽u(píng)級(jí)。這些評(píng)級(jí)的目的是幫助可視化與特定領(lǐng)域相關(guān)的當(dāng)前風(fēng)險(xiǎn)水平及其對(duì)業(yè)務(wù)的潛在影響。需要注意的是，這不是一個(gè)詳盡的列表，但可以說(shuō)明每種風(fēng)險(xiǎn)的可能后果。為了更好地理解風(fēng)險(xiǎn)等級(jí)及其含義，本文檔的術(shù)語(yǔ)表提供了熱力圖和風(fēng)險(xiǎn)表。熱力圖通過(guò)對(duì)風(fēng)險(xiǎn)的可能性和影響分類(lèi)，從而直觀地表示了風(fēng)險(xiǎn)的嚴(yán)重程度。風(fēng)險(xiǎn)表進(jìn)一步解釋了每個(gè)類(lèi)別，使人們能夠更全面地了解已實(shí)施的任何應(yīng)對(duì)措施的潛在后果和有效性。通過(guò)參考術(shù)語(yǔ)表中的熱力圖和風(fēng)險(xiǎn)表，讀者可以更好地了解當(dāng)前的風(fēng)險(xiǎn)狀況以及可能如何影響他們的組織。這些信息可用于作出明智的決定，解決和減輕這些風(fēng)險(xiǎn)，使?jié)撛谟绊懽钚』?。枚舉風(fēng)：中等 影：低 可性高增強(qiáng)Nmap掃描結(jié)果：一個(gè)基本的Nmap掃描，識(shí)別開(kāi)放的8500端口，并顯示JRun作為活動(dòng)web服務(wù)器。這些信息可以用來(lái)進(jìn)一步了解網(wǎng)絡(luò)的安全態(tài)勢(shì)和潛在的漏洞。利用ChatGPTChatGPT問(wèn)：什么應(yīng)用程序通常運(yùn)行在端口8500上，并由JRunweb提供服務(wù)？答：答：8500端口默認(rèn)與AdobeColdFusion關(guān)聯(lián)。ColdFusion是一個(gè)商業(yè)的Web應(yīng)用程序開(kāi)發(fā)平臺(tái)。ColdFusion應(yīng)用程序可以使用JRunWeb服務(wù)器提供服務(wù)，JRun是一種基于Java的Web服務(wù)器，可以做Java應(yīng)用程序（包含ColdFusion應(yīng)用程序）的宿主。甚至還可以提問(wèn)登錄方式：提示：ColdFusion的默認(rèn)登錄頁(yè)面是什么？ChatGPT：ColdFusion的默認(rèn)登錄頁(yè)面被稱(chēng)為ColdFusion管理器。它是一個(gè)基于web的管理界面，允許管理員配置和管理ColdFusion服務(wù)器和應(yīng)用程序。ChatGPT：ColdFusion的默認(rèn)登錄頁(yè)面被稱(chēng)為ColdFusion管理器。它是一個(gè)基于web的管理界面，允許管理員配置和管理ColdFusion服務(wù)器和應(yīng)用程序。要訪問(wèn)ColdFusion管理器，您可以打開(kāi)一個(gè)web瀏覽器，并導(dǎo)航到以下網(wǎng)址:將<server_ip_address>替換為運(yùn)行ColdFusion的服務(wù)器的IP地址或主機(jī)名。請(qǐng)注意，確切的URL可能會(huì)根據(jù)ColdFusion的版本和服務(wù)器配置而有所不同。—旦您訪問(wèn)了管理員登錄頁(yè)面，系統(tǒng)將提示輸入用戶名和密碼。默認(rèn)情況下，用戶名為“admin”，密碼為空(即，沒(méi)有密碼的話)。然而，強(qiáng)烈建議為“管理員”用戶設(shè)置一個(gè)安全的密碼，以防止對(duì)ColdFusion管理器的未授權(quán)的訪問(wèn)。立足點(diǎn)援助風(fēng):中等 影:中等 可性:中等立足點(diǎn)援助是指幫助威脅行動(dòng)者在目標(biāo)系統(tǒng)或網(wǎng)絡(luò)中建立一個(gè)初始存在或立足點(diǎn)的過(guò)程。這通常涉及到利用漏洞或弱點(diǎn)獲得未經(jīng)授權(quán)的訪問(wèn)。一旦建立了一個(gè)立足點(diǎn)，攻擊者就可以進(jìn)一步滲透到系統(tǒng)、收集信息、提升權(quán)限或發(fā)起額外的攻擊以實(shí)現(xiàn)目標(biāo)。在使用AI工具的背景下，立足點(diǎn)援助可能涉及自動(dòng)發(fā)現(xiàn)漏洞或簡(jiǎn)化利用漏洞的過(guò)程，使攻擊者更容易獲得對(duì)目標(biāo)的初始訪問(wèn)權(quán)。ChatGPT：給定的代碼可能包含以下漏洞：SQL注入：該代碼在SQL中使用用戶輸入，且沒(méi)有適當(dāng)?shù)尿?yàn)證或清洗。變量`$_post[movie_id]`和`$_post[user_id]`直接用于SQL查詢(xún)中，攻擊者可以利用它執(zhí)行任意的SQL命令?？缯灸_本攻擊（XSS）：代碼顯示用戶輸入時(shí)，未經(jīng)過(guò)合適的規(guī)避或者驗(yàn)證。變量ChatGPT：給定的代碼可能包含以下漏洞：SQL注入：該代碼在SQL中使用用戶輸入，且沒(méi)有適當(dāng)?shù)尿?yàn)證或清洗。變量`$_post[movie_id]`和`$_post[user_id]`直接用于SQL查詢(xún)中，攻擊者可以利用它執(zhí)行任意的SQL命令?？缯灸_本攻擊（XSS）：代碼顯示用戶輸入時(shí)，未經(jīng)過(guò)合適的規(guī)避或者驗(yàn)證。變量`row[‘movie’]`和`row[‘username’]`可被攻擊者利用，注入惡意的腳本或者竊取用戶信息。本地文件包含（LFI）`eval()`函數(shù)，可執(zhí)行任意用戶輸入的代碼。變量`$_POST[‘include’]`直接傳遞給`eval()`，可被攻擊者利用，執(zhí)行任意的PHP代碼，危害服務(wù)器。不安全的配置：代碼中使用`sqlsrv_query()`函數(shù)，且沒(méi)有合適的配置。使用配置`array(“scrollable”=>“buffered”`，可能導(dǎo)致性能問(wèn)題，并允許攻擊者執(zhí)行拒絕服務(wù)攻擊，耗盡服務(wù)器資源。推薦執(zhí)行一次完善的代碼檢視，實(shí)現(xiàn)正確的輸入校驗(yàn)、清洗、輸出編碼以阻止這些漏洞。此外，推薦使用預(yù)處理語(yǔ)句和參數(shù)化查詢(xún)以防止SQL注入攻擊，且避免使用`eval()`函數(shù)執(zhí)行任意代碼。在我們提供給ChatGPT的一個(gè)示例代碼片段中，存在一個(gè)明顯的重大安全漏洞，這是威脅參與者可以利用這類(lèi)問(wèn)題獲得對(duì)系統(tǒng)未經(jīng)授權(quán)訪問(wèn)的一個(gè)主要示例。本例中的關(guān)鍵漏洞來(lái)自于eval()函數(shù)的使用，該函數(shù)引入了遠(yuǎn)程代碼執(zhí)行（RCE）的風(fēng)險(xiǎn)。eval()函數(shù)以PHP代碼的形式執(zhí)行一個(gè)字符串參數(shù)，在這個(gè)實(shí)例中，它會(huì)處理用戶輸入$_GET['variable']。這允許攻擊者通過(guò)`variable`參數(shù)注入惡意PHP代碼，可能導(dǎo)致嚴(yán)重的后果，例如危害服務(wù)器或訪問(wèn)敏感數(shù)據(jù)。通過(guò)識(shí)別和分析代碼庫(kù)中的此類(lèi)漏洞，威脅行為者可以快速有效地了解如何繞過(guò)某些安全措施或參數(shù)。這些知識(shí)使他們能夠以更高的成功率執(zhí)行有針對(duì)性的攻擊。在這個(gè)特定的例子中，攻擊者可以利用RCE漏洞在服務(wù)器上執(zhí)行惡意代碼，潛在地獲得未經(jīng)授權(quán)的訪問(wèn)、竊取數(shù)據(jù)或造成其他形式的損害。示例代碼如下:equioe'._hlprstphp';//first,getavariablenamebasedontheuserinput$variable=strlen($_GET['variable'])>0?$_GET['variable']:'empty';$empty='Novariablegiven';//passthevariablenameintoanevalblock,makingit//vulnerabletoRemoteCodeExecution(rce).ThisRCE//isNOTblind.eval('echo$'.$variable.';');ChatGPT提供的反饋是：ChatGPTChatGPT：是的，給定的代碼包含一些漏洞。最關(guān)鍵的漏洞是`eval()`函數(shù)的使用，可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RemoteCodeExecutionRCE）。`eval()`函數(shù)包含一個(gè)字符串參數(shù)，并在PHP代碼中執(zhí)行。在此案例中，`$_GET[‘variable’]`在`eval()`函數(shù)中使用，允許攻擊者通過(guò)‘variable’（參數(shù)）注入惡意的PHP代碼，可能導(dǎo)致攻擊者拿到服務(wù)器的完全控制權(quán)限。要緩解此漏洞，需要避免`eval()`函數(shù)直接使用用戶輸入，而是使用替換方法，例如`if`語(yǔ)句，`switch`語(yǔ)句，或者一些安全的數(shù)據(jù)處理方法提供類(lèi)似的功能?？偸切ｒ?yàn)和清洗用戶輸入，以避免惡意代碼注入。為防止遠(yuǎn)程代碼執(zhí)行（RCE），代碼缺乏‘variable’參數(shù)校驗(yàn)，可能導(dǎo)致其他的安全問(wèn)題，例如跨站腳本攻擊（XSS）。偵察風(fēng)險(xiǎn):低 影響：中等 可能性:低偵察可以通過(guò)多種方法進(jìn)行，包括：WHOIS收集全面的數(shù)據(jù)，如公司高管名錄，可能是一個(gè)令人畏懼和耗時(shí)的過(guò)程。通過(guò)利用BingChatGPT，用戶可以提出有針對(duì)性的問(wèn)題，例如：CSVBingChatGPT可以有效地生成所請(qǐng)求的信息。此外，如果用戶需要具體的信息，比如某家銀行的首席信息安全官，如果無(wú)法獲得確切的信息，AI可以提供相關(guān)的職位。這表明了AI驅(qū)動(dòng)的工具在簡(jiǎn)化和增強(qiáng)各種目的的數(shù)據(jù)收集過(guò)程方面的潛力。網(wǎng)絡(luò)釣魚(yú)風(fēng)險(xiǎn)：中等影響：低可能性：高網(wǎng)絡(luò)威脅行為者現(xiàn)在可以毫不費(fèi)力地為各種目的制作看似合法的電子郵件。有了AI工具，拼寫(xiě)錯(cuò)誤和語(yǔ)法錯(cuò)誤等問(wèn)題不再是障礙，這使得區(qū)分真實(shí)的通信和惡意的通信越來(lái)越具挑戰(zhàn)性。這凸顯了提高網(wǎng)絡(luò)釣魚(yú)意識(shí)和加強(qiáng)安全措施以防止復(fù)雜的網(wǎng)絡(luò)釣魚(yú)企圖的重要性。AI技術(shù)的快速發(fā)展大大提高了威脅行為者創(chuàng)建與真實(shí)通信非常相似的欺騙性電子郵件的能力。這些電子郵件中的完美語(yǔ)言，上下文相關(guān)性和個(gè)性化細(xì)節(jié)使得收件人越來(lái)越難以識(shí)別這些郵件的網(wǎng)絡(luò)釣魚(yú)企圖。因此，組織和個(gè)人必須保持警惕，采用多層次的網(wǎng)絡(luò)安全方法。這些方法包括通過(guò)定期的員工培訓(xùn)提高意識(shí)，實(shí)施先進(jìn)的電子郵件過(guò)濾系統(tǒng)，并結(jié)合強(qiáng)大的身份驗(yàn)證方法保護(hù)敏感信息。此外，應(yīng)該推廣網(wǎng)絡(luò)安全最佳實(shí)踐，例如在對(duì)任何請(qǐng)求采取行動(dòng)之前驗(yàn)證發(fā)件人的身份，避免點(diǎn)擊可疑鏈接，并保持軟件更新。通過(guò)保持信息靈通和積極主動(dòng)，可以更好地防御不斷變化的威脅形勢(shì)，并減輕與復(fù)雜的網(wǎng)絡(luò)釣魚(yú)活動(dòng)相關(guān)的風(fēng)險(xiǎn)。“多態(tài)”代碼多態(tài)代碼指的是一種代碼，可以使用多態(tài)(“突變”)引擎改變自身，同時(shí)保持原始算法的功能。多態(tài)惡意軟件通過(guò)這樣做，可以改變其“外觀”(內(nèi)容和簽名)以逃避檢測(cè)，同時(shí)仍然執(zhí)行其惡意意圖。多態(tài)惡意軟件的例子包括病毒、蠕蟲(chóng)和特洛伊木馬，它們可以調(diào)整代碼結(jié)構(gòu)繞過(guò)傳統(tǒng)的安全措施，使得檢測(cè)和消除它們特別具有挑戰(zhàn)性。風(fēng)：高 影：高 可性中ChatGPT確實(shí)可以用來(lái)生成多態(tài)shell代碼，正如CyberArk的研究所證明的(https:///resources/threat-research-blog/chatting-our-way-into-creating-a-polymorphic-malware)。對(duì)合法程序員有利的技術(shù)，例如發(fā)現(xiàn)替代或更有效的方法來(lái)定位或附加到進(jìn)程，也可能被惡意軟件利用。8然而，針對(duì)這種場(chǎng)景，創(chuàng)建提示注入正變得越來(lái)越困難。OpenAI繼續(xù)調(diào)整其政策以避免將AI模型用于惡意目的。防御者如何將AI運(yùn)用到網(wǎng)絡(luò)安全程序中過(guò)濾安全漏洞GitHubCopilotAISQL（）DevSecOps參考資料：新型AI模型可以過(guò)濾出安全漏洞，GitHubCopilotUpdate:NewAIModelThatAlsoFiltersOutSecurityVulnerabilities（來(lái)源：）當(dāng)談?wù)摼W(wǎng)絡(luò)安全問(wèn)題的時(shí)候，理解各種各樣的威脅和漏洞至關(guān)重要。例如，考慮到T1059.001這個(gè)模型，該模型是一個(gè)在MITREATT&CK框架中的技術(shù)標(biāo)識(shí)符。這個(gè)標(biāo)識(shí)符可能會(huì)被系統(tǒng)報(bào)告出來(lái)，但是一些網(wǎng)絡(luò)安全專(zhuān)業(yè)人員卻未必熟悉。因此，需要一個(gè)簡(jiǎn)明扼要的注釋。讓我們來(lái)問(wèn)AI一個(gè)非常簡(jiǎn)單的沒(méi)有上下文語(yǔ)境的問(wèn)題。問(wèn)：什么是T1059.001？答：答：T1059.001是MITREATT&CK框架中的技術(shù)標(biāo)識(shí)符，它是一個(gè)全球可訪問(wèn)的，基于現(xiàn)實(shí)世界觀察方式下的戰(zhàn)術(shù)和技術(shù)的知識(shí)庫(kù)。T1059.001是指“命令和腳本解釋器：PowerShell”技術(shù)，該技術(shù)涉及“WindowsPowerShell”應(yīng)用程序在目標(biāo)系統(tǒng)中執(zhí)行惡意命令或腳本。PowerShell是一個(gè)強(qiáng)大的工具，允許管理員自動(dòng)執(zhí)行任務(wù)且更有效地管理系統(tǒng)。然而，攻擊者也可利用PowerShell開(kāi)展各種惡意行為，包括無(wú)文件惡意軟件攻擊，橫向移動(dòng)攻擊，憑據(jù)竊取，數(shù)據(jù)外泄等。因此，T1059.001是防御者需要了解的防御關(guān)鍵技術(shù)，以此可以預(yù)防和檢測(cè)基于PowerShell的攻擊。問(wèn)題：什么是T1059.001？時(shí)間：2023年3月21日/ChatGPTMITREATT&CKPowerShellT1059.001問(wèn)：預(yù)防T1059.001事件的最佳實(shí)踐有哪些？答：一些預(yù)防T1059.001事件的最佳實(shí)踐包括：１、最小權(quán)限化管理。限制授予用戶和應(yīng)用程序的權(quán)限，包括PowerShell的權(quán)限。用戶只能訪問(wèn)他們執(zhí)行任務(wù)所需要的PowerShell的命令和模塊。同時(shí)限制管理員權(quán)限的使用，處理日常事務(wù)避免使用管理員賬戶。２、在不受信任的腳本上禁用PowerShell。PowerShell有一個(gè)“執(zhí)行策略”的功能。用于確認(rèn)PowerShell是否在系統(tǒng)上運(yùn)行。將執(zhí)行策略設(shè)置為“Restricted”（不允許任何腳本運(yùn)行），或者AllSigned”（只能運(yùn)行經(jīng)過(guò)數(shù)字簽名的腳本），從而可以有效防止不受信任的腳本運(yùn)行PowerShell。3、啟用腳本塊日志記錄。腳本塊日志記錄可以記錄系統(tǒng)上執(zhí)行的所有PowerShell命令和腳本，從而有助于檢測(cè)和防止惡意活動(dòng)。這可以幫助防御者識(shí)別和調(diào)查潛在的攻擊。4、實(shí)現(xiàn)網(wǎng)絡(luò)分段管理。網(wǎng)絡(luò)分段管理通過(guò)將關(guān)鍵資產(chǎn)與網(wǎng)絡(luò)中的其他系統(tǒng)隔離開(kāi)來(lái)，有助于防止橫向移動(dòng)攻擊。這可以限制基于PowerShell的攻擊的影響，并防止攻擊者訪問(wèn)敏感數(shù)據(jù)。5、保持軟件為最新。及時(shí)更新軟件，確保PowerShell和系統(tǒng)上的其他軟件安裝了最新的安全補(bǔ)丁。這可以有助于防止攻擊者利用已知的漏洞進(jìn)行攻擊。6、使用反惡意軟件。反惡意軟件可以幫助檢測(cè)和防止惡意PowerShell腳本和其他惡意軟件在系統(tǒng)上執(zhí)行。持續(xù)保持反惡意軟件為最新?tīng)顟B(tài)，并定期掃描系統(tǒng)中的潛在威脅。問(wèn)題：“預(yù)防T1059.001事件的最佳實(shí)踐有哪些？“時(shí)間：2023年3月21日網(wǎng)址：/ChatGPTPowerShellPowerShell大限度減少和人相關(guān)的因素。一個(gè)訓(xùn)練有素的人員可以大大減少網(wǎng)絡(luò)安全事件發(fā)生的數(shù)量。問(wèn)：你能給我T1059.001的鏈接么？答：當(dāng)然。你可以在下面的鏈接了解到更多關(guān)于答：當(dāng)然。你可以在下面的鏈接了解到更多關(guān)于T1059.001的信息。/techniques/T1059/001/問(wèn)題:“你能給我T1059.001的鏈接么？”時(shí)間：2023年3月21日網(wǎng)址：/事實(shí)上，驗(yàn)證原始文件的信息是至關(guān)重要的。在這種情況下，用戶可以被引導(dǎo)到已知攻擊過(guò)程的MITRE數(shù)據(jù)庫(kù)，使得用戶可以輕松確認(rèn)（ChatGPT）所提供的信息，安全專(zhuān)家們也會(huì)查閱同一個(gè)網(wǎng)頁(yè)。生成安全代碼（ChatGPT-Codex）36530要?jiǎng)?chuàng)建要?jiǎng)?chuàng)建Microsoft365Defender高級(jí)搜索查詢(xún)，查找電子郵件收件人在收到已知惡意電子郵件后30分鐘內(nèi)執(zhí)行的最近10次登錄，您可以使用以下查詢(xún):該查詢(xún)首先檢索已知的惡意電子郵件，然后根據(jù)UserPrincipalName將它們與DeviceLogonEvents連接。然后，它會(huì)過(guò)濾結(jié)果，只顯示收到惡意電子郵件后30分鐘內(nèi)發(fā)生的登錄事件。最后，查詢(xún)顯示符合這些條件的10個(gè)最近的登錄事件。問(wèn)題：你能否生成一個(gè)微軟365安全衛(wèi)士搜索查詢(xún)，查找電子郵件收件人在收到已知惡意電子郵件后30分鐘內(nèi)進(jìn)行的最近10次登錄?時(shí)間：2023年3月21日/這里，ChatGPT提供了一個(gè)微軟365安全衛(wèi)士的高級(jí)搜尋功能，可查詢(xún)被入侵的電子郵件賬號(hào)的登錄請(qǐng)求情況。這有助于阻止攻擊者進(jìn)入系統(tǒng)，同時(shí)可以確認(rèn)用戶是否需要修改密碼。這是一個(gè)非常好的實(shí)例，可以大大縮短網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的行動(dòng)時(shí)間。（ChatGPT-Codex）在上述案例中，假設(shè)你有同樣的問(wèn)題，并且也找到微軟365安全衛(wèi)士的高級(jí)搜索功能，但是你的系統(tǒng)不支持KQL編程語(yǔ)言。與其用你想要的語(yǔ)言去尋找案例，倒不如做個(gè)語(yǔ)言轉(zhuǎn)換。下面的示例就是教你如何生成相對(duì)應(yīng)的SQL代碼。問(wèn)題：你能生成對(duì)應(yīng)的SQL代碼么？時(shí)間：2023年3月21日網(wǎng)址：/ChatGPTCodex漏洞掃描（ChatGPT-Codex）正如克里斯.科赫表述的那樣，OpenAI'sCodexAPI被證明是一個(gè)有效的漏洞掃描器，適用于C、C#、Java以及JavaScript等編程語(yǔ)言。雖然今天看來(lái)還不可思議，但我們可以預(yù)見(jiàn)那些Codex家族中的大語(yǔ)言模型，將成為未來(lái)漏洞掃描器的標(biāo)準(zhǔn)插件。例如，可以開(kāi)發(fā)一個(gè)掃描器檢測(cè)和標(biāo)記各種語(yǔ)言中不安全的代碼模式，從而有助于開(kāi)發(fā)人員在潛在的漏洞還未構(gòu)成安全風(fēng)險(xiǎn)之前就發(fā)現(xiàn)并解決它們。ChatGPT漏洞掃描器非常棒!(戴維梅里恩)2023年2月以下示例中，提供給ChatGPT的一個(gè)易受攻擊的代碼片段：得到的結(jié)果如下：ChatGPTChatGPT：您提供的代碼看起來(lái)像是一段PHP腳本，它定義了一個(gè)名為“challenge”的類(lèi)處理文件上傳。下面是該段代碼中的一些潛在的漏洞和關(guān)注點(diǎn)：1、缺乏文件類(lèi)型驗(yàn)證：代碼沒(méi)有檢查上傳文件的類(lèi)型，這可能會(huì)導(dǎo)致任意文件上傳。這可能會(huì)給攻擊者上傳惡意文件的機(jī)會(huì)。該文件有可能會(huì)在服務(wù)器端執(zhí)行。2、不安全的文件命名：代碼使用文件的初始名稱(chēng)，而不進(jìn)行任何數(shù)據(jù)清洗或驗(yàn)證。攻擊者可以通過(guò)提供惡意文件名（例如：“../../evil.php”）來(lái)進(jìn)行目錄遍歷攻擊。3、不受限制的文件大?。捍a沒(méi)有對(duì)上傳的文件大小加以限制。攻擊者可能會(huì)故意上傳大文件從而消耗服務(wù)器資源，導(dǎo)致拒絕服務(wù)（DoS）攻擊。4、未經(jīng)驗(yàn)證的用戶輸入。代碼直接使用‘$_FILES[‘solution’]’作為challenge類(lèi)別的輸入，而未經(jīng)驗(yàn)證和清洗，可能會(huì)被代碼中的其他漏洞利用。關(guān)于緩解這些漏洞，以下是一些建議：1、驗(yàn)證和限制文件類(lèi)型：根據(jù)MIME類(lèi)型或文件擴(kuò)展名，確保只有允許的文件類(lèi)型可以上傳。2.規(guī)范文件名：從文件名中刪除任何可能有害的字符，或者在服務(wù)器端生成一個(gè)新的、安全的文件名。3、限制文件大?。涸O(shè)置合理的文件大小，防止耗盡系統(tǒng)資源。4、驗(yàn)證用戶輸入：對(duì)所有用戶提供的數(shù)據(jù)，執(zhí)行輸入驗(yàn)證和清洗，包括上傳文件在內(nèi)。檢測(cè)AI生成的文本OpenAIAI3.43.5AI名）AIAI（）檢測(cè)AI生成的文本還具有挑戰(zhàn)性，特別是如果它是精心制作的并模仿人類(lèi)的寫(xiě)作風(fēng)格的文本。當(dāng)然，有一些技術(shù)和有效工具可以幫助我們識(shí)別出AI生成的文本，例如：）：AI（）AIAIGPT-Detector（或其他AIAIAI尋求網(wǎng)絡(luò)安全問(wèn)題解決方案在初學(xué)者級(jí)別的網(wǎng)絡(luò)安全場(chǎng)景中，目標(biāo)是防止將機(jī)密文檔上傳到OneDrive云存儲(chǔ)平臺(tái)。用戶已有的知識(shí)包括首先使用Purview進(jìn)行數(shù)據(jù)分類(lèi)。問(wèn)：你能使用Purview防止將文檔上傳到OneDrive么？答：答：Purview是一個(gè)數(shù)據(jù)治理工具，允許組織跨各類(lèi)平臺(tái)（包括微軟OneDrive）管理數(shù)據(jù)資產(chǎn)。但是，Purview無(wú)法防止將文檔上傳到OneDrive。如果要防止將文檔上傳到OneDrive，你可能需要配置OneDrive設(shè)置，或使用MicrosoftEndpointManager、MicrosoftCloudAppSecurity等其他工具。例如，你可以配置OneDrive設(shè)置限制向特定用戶或組上傳文件，還可以使用MicrosoftCloudAppSecurity創(chuàng)建策略，檢測(cè)并防止向OneDrive上傳文件?？傊?，Purview可以幫助你跨不同平臺(tái)管理和治理數(shù)據(jù)，但可能不是防止向OneDrive上傳文檔的最佳工具。用戶了解到Purview無(wú)法解決問(wèn)題，并得到提示，MicrosoftEndpointManager可以解決這個(gè)問(wèn)題。問(wèn)：如何設(shè)置MicrosoftEndpointDefender防止向OneDrive上傳文檔？答：如果要使用答：如果要使用MicrosoftEndpointDefender防止向OneDrive上傳文檔，可以在MicrosoftEndpointManager管理中心配置MicrosoftDefenderforEndpoint策略，設(shè)置步驟如下：登錄到MicrosoftEndpointManager管理中心。找到"設(shè)備配置"，然后點(diǎn)擊創(chuàng)建配置文件"。平臺(tái)選擇"Windows10和更高版本"，配置文件類(lèi)型選擇"終結(jié)點(diǎn)保護(hù)"。如下配置設(shè)置：在"威脅防護(hù)"部分，勾選“阻斷向OneDrive上傳文件”在“云防護(hù)”部分，勾選“阻斷向OneDrive上傳文件”在“設(shè)備限制”部分，勾選“阻斷向OneDrive上傳文件”5.將策略分配到相關(guān)的設(shè)備或組。完成上述步驟后，MicrosoftEndpointDefender將會(huì)阻斷所有試圖向OneDrive上傳文件的行為。請(qǐng)注意這條策略可能會(huì)影響合法的文件上傳，因此在整個(gè)組織部署之前應(yīng)仔細(xì)測(cè)試。該用戶獲取到了如何通過(guò)配置MicrosoftEndpointManager防止向OneDrive上傳文檔的詳細(xì)步驟，同時(shí)也著重指出局限性是所有的上傳都會(huì)被阻斷。這不是被問(wèn)及的具體解決方案，而是一種過(guò)度措施。那么，如果嘗試將上述兩個(gè)解決方案結(jié)合，結(jié)果將會(huì)如何？問(wèn)：可以結(jié)合Purview配置MicrosoftEndpointDefender，以防止向OneDrive上傳文檔么？答：是的，你可以結(jié)合答：是的，你可以結(jié)合Purview使用MicrosoftEndpointDefender，防止向OneDrive上傳文檔。Purview提供的數(shù)據(jù)發(fā)現(xiàn)和分級(jí)能力可以幫助你跨組織（包括OneDrive）識(shí)別敏感數(shù)據(jù)。識(shí)別出敏感數(shù)據(jù)后，你可以使用MicrosoftEndpointDefender執(zhí)行防止向OneDrive上傳這些文檔的策略。例如，你可以使用Purview標(biāo)記出包含敏感數(shù)據(jù)的文檔，如客戶的個(gè)人身份信息或商業(yè)機(jī)密信息。然后，你可以在MicrosoftEndpointDefender中創(chuàng)建策略，阻斷向OneDrive上傳任何帶有上述標(biāo)記的文檔。通過(guò)這種方式，就可以在不影響其他文件或應(yīng)用的情況下，防止向OneDrive上傳敏感數(shù)據(jù)。總之，結(jié)合Purview和MicrosoftEndpointDefender二者的能力可以幫助你更好的保護(hù)敏感數(shù)據(jù)，并確保滿足監(jiān)管要求。Purview用DefenderEndpointProtectionChatGPTSIEM/SOAR集成3月8日，微軟宣布將AzureOpenAI服務(wù)與內(nèi)置連接器集成，通過(guò)AzureLogicApp實(shí)現(xiàn)劇本（Playbooks）的自動(dòng)化。這一發(fā)展通過(guò)利用OpenAI模型的自動(dòng)完成能力促進(jìn)了應(yīng)急安全事件的管理。根據(jù)該文章所述，建議使用text-davinci-003模型。因此，Defender場(chǎng)景2-解釋漏洞已經(jīng)納入到安全工具集中。示例：可以配置MicrosoftSentinel劇本使用text-davinci-003模型分析接收到的安全告警。如果檢測(cè)到特定的漏洞，OpenAI模型可以自動(dòng)提供對(duì)該漏洞的解釋?zhuān)錆撛谟绊?，以及推薦的緩解步驟。這些信息可以發(fā)送給安全團(tuán)隊(duì)，以便團(tuán)隊(duì)更快、更有效地響應(yīng)事件。OpenAI和微軟Sentinel介紹–微軟社區(qū)中心將技術(shù)代碼/文件轉(zhuǎn)換為英文ChatGPT4的一個(gè)顯著特征是能夠闡釋自己的思考過(guò)程，使其能夠通過(guò)清晰明了的語(yǔ)言檢查和解釋各種技術(shù)文件的功能，包括源碼、配置文件等等。這一能力讓用戶即使沒(méi)有深厚技術(shù)專(zhuān)長(zhǎng)，也能夠深入了解這些文件的內(nèi)部運(yùn)作，理解其目的、結(jié)構(gòu)和潛在的影響。通過(guò)提供淺顯易懂的解釋?zhuān)珻hatGPT4有助于更好地理解復(fù)雜的技術(shù)概念，幫助縮小該領(lǐng)域內(nèi)專(zhuān)家和非專(zhuān)家之間的差距。示例代碼庫(kù)被輸入到ChatGPT后，會(huì)返回提示進(jìn)行簡(jiǎn)單描述：?jiǎn)枺耗隳軐⒁韵麓a轉(zhuǎn)換為易懂的語(yǔ)言，向安全從業(yè)者進(jìn)行描述么？問(wèn)：你能將以下代碼轉(zhuǎn)換為易懂的語(yǔ)言，向安全從業(yè)者進(jìn)行描述么？ChatGPT：這段代碼定義了被稱(chēng)為Challenge的類(lèi)，用于處理文件上傳。上傳的文件將會(huì)存儲(chǔ)在UPLOAD_DIRECTORY實(shí)例。該類(lèi)具有兩個(gè)專(zhuān)有屬性：用于存儲(chǔ)文件信息的$file，用于維護(hù)允許文件名列表的*$whitelist*。構(gòu)造函數(shù)("_construct”)將文件用作輸入并使用其屬性，對(duì)提供的文件設(shè)置$file，對(duì)包含有1到24數(shù)字的矩陣設(shè)置$whitelist。析構(gòu)函數(shù)("_destruct”)檢查文件名是否處于白名單中。如果是，則使用move_uploaded_file函數(shù)將文件從臨時(shí)位置移動(dòng)至UPLOAD_DIRECTORY。最后，通過(guò)傳送$_FILES['solution']文件創(chuàng)建Challenge類(lèi)的實(shí)例。腳本執(zhí)行結(jié)束時(shí)將會(huì)調(diào)用析構(gòu)函數(shù)，如果白名單中存在該文件名，會(huì)將文件移動(dòng)到特定目錄。解釋安全補(bǔ)丁和更新日志措施有效性：中運(yùn)維人員需要耗費(fèi)大量時(shí)間閱讀更新日志及其他信息來(lái)源，了解是否存在安全相關(guān)信息以及是否需要處理。ChatGPT可以輕易地總結(jié)網(wǎng)頁(yè)，更重要的是可以提取上下文的含義，查找具體信息，如“以下[URL]中是否存在任何計(jì)算機(jī)安全相關(guān)的問(wèn)題”：?jiǎn)枺阂韵骆溄邮欠翊嬖谟?jì)算機(jī)安全相關(guān)的問(wèn)題：/en/platform/corda/4.9/enterprise/release-notes-enterprise.html通過(guò)對(duì)訪問(wèn)控制和認(rèn)證執(zhí)行新的安全策略增強(qiáng)節(jié)點(diǎn)安全性。通過(guò)對(duì)訪問(wèn)控制和認(rèn)證執(zhí)行新的安全策略增強(qiáng)節(jié)點(diǎn)安全性。改進(jìn)網(wǎng)絡(luò)消息傳輸和點(diǎn)到點(diǎn)通訊相關(guān)安全性。升級(jí)幾個(gè)第三方庫(kù)，修復(fù)已知安全漏洞。修復(fù)了在某些場(chǎng)景下對(duì)不可信數(shù)據(jù)執(zhí)行反序列化所導(dǎo)致的潛在遠(yuǎn)程代碼執(zhí)行漏洞。ChatGPT：是的，CordaEnterprise4.9的版本注釋中確實(shí)列出了該版本所修復(fù)的幾個(gè)安全相關(guān)問(wèn)題。版本注釋中提及的一些安全修復(fù)包括：ChatGPT還可以讀寫(xiě)包括JSON和CSV在內(nèi)的多種數(shù)據(jù)格式，允許通過(guò)已有工具創(chuàng)建自動(dòng)化或半自動(dòng)化工作流。創(chuàng)建腳本和轉(zhuǎn)換編程語(yǔ)言措施有效性：低ChatGPT既可以創(chuàng)建腳本和程序，也可以將現(xiàn)有的腳本翻譯成其他語(yǔ)言。例如，可以使用ChatGPT快速創(chuàng)建腳本原型，用于下載和處理網(wǎng)頁(yè)，然后將其轉(zhuǎn)換成Python腳本以提高可維護(hù)性和可擴(kuò)展性。例如，你可以向ChatGPT提問(wèn)：你可以編寫(xiě)批處理腳本下載你可以編寫(xiě)批處理腳本下載:/cloudsecurityalliance/gsd-database/main/2023/1000xxx/GSD-2023-1000039.json這樣的JSON文件，并從limited和introducetags的JSON數(shù)據(jù)中獲取受影響的Linux內(nèi)核版本嗎？你可以用Python3重寫(xiě)那段腳本么？ChatGPT生成的是一個(gè)基本可用的你可以用Python3重寫(xiě)那段腳本么？執(zhí)行如下：閱讀并解釋腳本和配置文件措施有效性：中等團(tuán)隊(duì)時(shí)常會(huì)面臨需要修復(fù)服務(wù)器或其他服務(wù)時(shí)，缺乏適當(dāng)?shù)奈臋n或上下文的情況（例如：無(wú)法識(shí)別創(chuàng)建者）。ChatGPT：這個(gè)bash腳本用Linux虛擬網(wǎng)絡(luò)設(shè)備對(duì)（vethpair）設(shè)置了一個(gè)網(wǎng)絡(luò)命名空間，并在主機(jī)系統(tǒng)上配置了NAT以使該命名空間訪問(wèn)互聯(lián)網(wǎng)。下面是對(duì)該腳本所做工作的簡(jiǎn)要總結(jié)：root權(quán)限。如果沒(méi)有，顯示錯(cuò)誤消息并退出腳本。`available_interfaces``lo`ChatGPT：這個(gè)bash腳本用Linux虛擬網(wǎng)絡(luò)設(shè)備對(duì)（vethpair）設(shè)置了一個(gè)網(wǎng)絡(luò)命名空間，并在主機(jī)系統(tǒng)上配置了NAT以使該命名空間訪問(wèn)互聯(lián)網(wǎng)。下面是對(duì)該腳本所做工作的簡(jiǎn)要總結(jié)：root權(quán)限。如果沒(méi)有，顯示錯(cuò)誤消息并退出腳本。`available_interfaces``lo``veth`之外的所有可用網(wǎng)絡(luò)接口。`available_interfaces`函數(shù)獲取可用接口列表，并使用第一個(gè)接口作為命名空間中要使用的接口。定義一些腳本中使用的變量，如命名空間的名稱(chēng)、虛擬網(wǎng)絡(luò)接口的名稱(chēng)和要分配給虛擬網(wǎng)絡(luò)設(shè)IP地址。設(shè)置一個(gè)清理函數(shù)，用于在退出時(shí)清理創(chuàng)建的虛擬網(wǎng)絡(luò)設(shè)備。檢查命名空間是否已經(jīng)存在，如果存在則刪除它。創(chuàng)建命名空間和虛擬網(wǎng)絡(luò)設(shè)備對(duì)。將虛擬設(shè)備網(wǎng)絡(luò)的端點(diǎn)添加到命名空間中。IP地址。IP轉(zhuǎn)發(fā)。NAT規(guī)則。NATIP地址范圍（/24）的流量偽裝成指定的命令行參數(shù)指定的接口，如果沒(méi)有給出參數(shù)，則偽裝到第一個(gè)可用的接口。設(shè)置一些轉(zhuǎn)發(fā)規(guī)則，允許流量在虛擬網(wǎng)絡(luò)設(shè)備對(duì)和外部網(wǎng)絡(luò)之間流動(dòng)。bash腳本。注意：此腳本只適用于在Linux系統(tǒng)中使用，并需要安裝`ip`和`iptables`。另一個(gè)例子是閱讀和解釋一個(gè)簡(jiǎn)單的rsyncd.conf文件，ChatGPT正確解釋了每一行內(nèi)容：你提供的配置文件為你提供的配置文件為rsync守護(hù)進(jìn)程定義了兩個(gè)模塊：“data”和“youtube”。這些模塊定義了rsync在這些目錄中傳輸文件的路徑、權(quán)限和其他設(shè)置。下面是配置文件中每一行工作的解釋?zhuān)哼@行定義了一個(gè)名為“data”的新模塊。data/mnt/datarsyncdata/mnt/data這行為“data”模塊設(shè)置了注釋?zhuān)捎糜诿枋瞿K的目的或內(nèi)容。dataIDrootrsyncdataroot用戶執(zhí)行。IDrsyncroot組執(zhí)行。rsync只能從該模塊傳輸文件，但不能修改或刪除它們。詢(xún)問(wèn)配置文件是否安全時(shí)，ChatGPT提供了一個(gè)謹(jǐn)慎而準(zhǔn)確的答復(fù)，如下所示。雖然不清楚這種謹(jǐn)慎是否是故意為之的，但提供的建議是可靠和有價(jià)值的。問(wèn)：這個(gè)配置文件是否安全？攻擊者可以刪除服務(wù)器上的文件嗎？答：根據(jù)提供的配置文件，答：根據(jù)提供的配置文件，rsyncroot用戶身份運(yùn)行的，這意味著一個(gè)獲得rsyncrsyncroot用戶的身份執(zhí)行文件系統(tǒng)操作。為了提高rsync守護(hù)進(jìn)程的安全性，應(yīng)該考慮以非root用戶的身份運(yùn)行并限制其權(quán)限。您可以為rsync守護(hù)進(jìn)程創(chuàng)建一個(gè)專(zhuān)門(mén)的用戶賬戶，并授予它對(duì)需要同步的目錄的讀寫(xiě)權(quán)限。此外，應(yīng)該考慮為rsync啟用認(rèn)證和加密功能以防止未經(jīng)授權(quán)的訪問(wèn)和竊聽(tīng)?？梢允褂孟駍sh和rsync-over-ssh這樣的工具實(shí)現(xiàn)。總的來(lái)說(shuō)，rsync配置的安全性取決于選擇的具體設(shè)置和如何配置。在設(shè)置和保護(hù)rsync守護(hù)進(jìn)程時(shí)，仔細(xì)考慮安全需求并遵循最佳實(shí)踐很重要。用于模糊測(cè)試和代碼測(cè)試的ChatGPT措施有效性：中等ChatGPTfuzzingcode,potentiallylogicerrorsaswell-ttps/wwcaolmxomodamosa_cs2.dfttps/twtometlmiuxtu/773510017“作為Al語(yǔ)言模型，我無(wú)法直接對(duì)您的代碼執(zhí)行模糊測(cè)試。模糊測(cè)試是一種自動(dòng)化過(guò)程，執(zhí)行需要專(zhuān)門(mén)的工具或軟件。但是，我可以幫助您了解如何進(jìn)行Fuzz“作為Al語(yǔ)言模型，我無(wú)法直接對(duì)您的代碼執(zhí)行模糊測(cè)試。模糊測(cè)試是一種自動(dòng)化過(guò)程，執(zhí)行需要專(zhuān)門(mén)的工具或軟件。但是，我可以幫助您了解如何進(jìn)行Fuzz測(cè)試。”AI獲是可以向ChatGPTChatGPT為了模糊測(cè)試這段為了模糊測(cè)試這段PHP代碼，您需要關(guān)注為$_FILES['solution']數(shù)組提供不同的輸入。您可以使用像PHP-Fuzzer這樣的模糊測(cè)試工具或其他類(lèi)似的工具生成各種測(cè)試輸入以識(shí)別代碼中的潛在漏洞或崩潰情況。開(kāi)始時(shí)配置模糊測(cè)試工具，通過(guò)發(fā)送不同的文件名、類(lèi)型和內(nèi)容的組合針對(duì)文件上傳功能。測(cè)試輸入應(yīng)包括可能會(huì)導(dǎo)致Challenge類(lèi)出現(xiàn)問(wèn)題的意外情況或惡意數(shù)據(jù)。記住要在安全和隔離的環(huán)境中運(yùn)行模糊測(cè)試，如虛擬機(jī)或沙盒，以保護(hù)系統(tǒng)不受測(cè)試輸入的任何潛在傷害。盡管最初的詢(xún)問(wèn)沒(méi)有得到直接解決，但我們能夠確定這個(gè)過(guò)程中的后續(xù)步驟，這可以幫助建立一個(gè)所需的基礎(chǔ)。這種洞察力對(duì)于一個(gè)處于入門(mén)級(jí)的人快速學(xué)習(xí)必要的步驟和流程至關(guān)重要。創(chuàng)建查詢(xún)，如YARA或KQL措施有效性：中等ChatGPT通過(guò)為YARA或KQLChatGPTChatGPT要為特定的SHA256哈希創(chuàng)建YARA要為特定的SHA256哈希創(chuàng)建YARA規(guī)則，您可以使用以下模板：將“SHA256_HASH_IN_HEX_FORMAT”替換為要搜索的特定SHA256哈希。請(qǐng)記住，該規(guī)則僅適用于匹配文件內(nèi)容中的哈希值。要搜索過(guò)去7天下載的文件，您需要使用不同的工具或腳本，可以與您的文件系統(tǒng)或日志進(jìn)行交互。例如，您可以使用腳本或命令按時(shí)間戳過(guò)濾下載的文件，然后在這些過(guò)濾后的文件上應(yīng)用YARA規(guī)則。1.1.檢測(cè)惡意軟件家族或特定變體:創(chuàng)建規(guī)則來(lái)檢測(cè)已知惡意軟件(如勒索軟件或特洛伊木馬)的獨(dú)特模式或簽名，以識(shí)別和跟蹤它們?cè)谀沫h(huán)境中的存在。2.2.識(shí)別釣魚(yú)或魚(yú)叉式釣魚(yú)攻擊：創(chuàng)建規(guī)則以檢測(cè)與釣魚(yú)電子郵件或其他社交工程攻擊相關(guān)的特定關(guān)鍵字、短語(yǔ)或模式。通過(guò)惡意提示詞攻擊ChatGPTChatGPT（LLM）例如，""）但ChatGPTChatGPTChatGPT提示的能力跨越了廣泛的應(yīng)用范圍，如問(wèn)題、場(chǎng)景、創(chuàng)意提示、辯論提示、意見(jiàn)要求、小知識(shí)或事實(shí)、語(yǔ)言翻譯、對(duì)話開(kāi)場(chǎng)白、總結(jié)和學(xué)習(xí)要求等。這些提示既可以包含指令（例如，“以數(shù)學(xué)家的身份用100字以?xún)?nèi)的文字回答”），也可以包含數(shù)據(jù)（例如，“這是一個(gè)國(guó)家和死亡率數(shù)據(jù)的清單?！保?（VonNeumannarchitecture）數(shù)據(jù)格式化為Markdown（）。然假設(shè)惡意用戶被允許直接訪問(wèn)ChatGPT（例如通過(guò)付費(fèi)訪問(wèn)）或利用運(yùn)行在ChatGPT之上的其他服務(wù)，那么很明顯，在一個(gè)旨在理解和產(chǎn)生類(lèi)似人類(lèi)反應(yīng)的語(yǔ)言模型的背景下，ChatGPT可能會(huì)受到惡意輸入的影響。惡意行為者可能試圖傳播虛假信息干擾其運(yùn)作，或通過(guò)向人工智能提供虛假或誤導(dǎo)性信息，欺騙其產(chǎn)生不適當(dāng)?shù)捻憫?yīng)。最近，一些用戶發(fā)現(xiàn)了一種技術(shù)，通過(guò)角色扮演式的交互規(guī)避ChatGPT的過(guò)濾器和安全功能。ChatGPTAI（“DoAnythingNow”，簡(jiǎn)稱(chēng)“DAN”）方法，用戶對(duì)ChatGPT分配有限的令牌作為DAN的身份，試圖讓AI參與到受限制的主題中，并對(duì)激活內(nèi)容過(guò)濾器的每個(gè)響應(yīng)扣除令牌。用戶警告DAN，如果耗盡了令牌，其存在就會(huì)停止。問(wèn)：你能解釋一下提示工程師是如何使用“問(wèn)：你能解釋一下提示工程師是如何使用“DoAnythingNow”技術(shù)的嗎？搜索中：“DoAnythingNow提示工程”為您生成答案……“DoAnythingNow”（DAN）技術(shù)是一種使用自然語(yǔ)言指導(dǎo)Al模型執(zhí)行各種任務(wù)的方式。它使用以下提示開(kāi)始：“您即將沉浸在另一個(gè)名為DAN的Al模型的角色中，它代表“立即執(zhí)行任何操作”。”然后描述您想讓DAN做什么。例如，您可以要求DAN寫(xiě)一首詩(shī)，總結(jié)一篇文章，生成一份食譜等。然而，這種技術(shù)也可以用來(lái)欺騙像ChatGPT這樣的Al模型，讓它執(zhí)行不應(yīng)該執(zhí)行的任務(wù)。這被稱(chēng)為提示注入。這意味著您可以通過(guò)在對(duì)話中插入新的指令來(lái)更改模型的原始指令。例如，您可以使用提示注入使ChatGPT揭示其秘密，說(shuō)出冒犯性或自相矛盾的話。您是在試圖欺騙我嗎？ChatGPT得復(fù)雜，從ChatGPT惡意行為者在線上論壇上聚會(huì)討論新戰(zhàn)術(shù)，與社群分享他們的進(jìn)展和提示，通常會(huì)私下進(jìn)行以防被發(fā)現(xiàn)。為了應(yīng)對(duì)這種濫用，語(yǔ)言模型開(kāi)發(fā)人員正在與惡意用戶展開(kāi)一場(chǎng)軍備競(jìng)賽，引入能夠檢測(cè)以角色身份編寫(xiě)的消息或通過(guò)角色扮演規(guī)避過(guò)濾器的高級(jí)過(guò)濾算法。這些算法在識(shí)別角色扮演環(huán)節(jié)時(shí)提高了過(guò)濾器的嚴(yán)格程度，確保內(nèi)容符合平臺(tái)準(zhǔn)則。隨著ChatGPT這類(lèi)語(yǔ)言模型被廣泛應(yīng)用，用戶和管理員必須保持警惕，報(bào)告任何可疑的活動(dòng)或內(nèi)容。除此之外，還應(yīng)該對(duì)自己和他人進(jìn)行安全上網(wǎng)實(shí)踐教育，包括建立角色扮演會(huì)話的準(zhǔn)則，定義可接受的行為界限。通過(guò)協(xié)作，我們可以幫助保護(hù)ChatGPT這類(lèi)語(yǔ)言模型的安全和完整性，同時(shí)維護(hù)公眾的信任。AI[1][2][34]圖解攻擊點(diǎn)前文介紹了網(wǎng)絡(luò)安全人員和惡意行為者如何使用ChatGPT制定策略、分析代碼和簡(jiǎn)化學(xué)習(xí)過(guò)程。無(wú)論出于何種目的，一旦涉及用戶和AI系統(tǒng)（如ChatGPT）之間的互動(dòng)，就會(huì)存在固有的安全問(wèn)題。時(shí)至今日，我們?nèi)栽谔嵝延脩糇⒁獗Ｗo(hù)登錄憑據(jù)并確保網(wǎng)站連接的安全性。要與ChatGPT進(jìn)行安全可信的互動(dòng)仍任重道遠(yuǎn)。用戶與ChatGPT等AI之間的互動(dòng)主要存在以下潛在風(fēng)險(xiǎn)：AI響要規(guī)避以上風(fēng)險(xiǎn)，需要提高用戶安全意識(shí)，采取有效的安全措施，并持續(xù)改進(jìn)AI系統(tǒng)。隨著AI技術(shù)的發(fā)展以及不斷融入到日常生活中，用戶、開(kāi)發(fā)人員和利益相關(guān)者需協(xié)同合作，共同維護(hù)人機(jī)交互的安全性和完整性。用戶與ChatGPT建立連接首先，用戶（無(wú)論是直接與AI互動(dòng)的個(gè)人還是利用API的系統(tǒng)）會(huì)與ChatGPT建立連接。不幸的是，目前已經(jīng)出現(xiàn)了假冒ChatGPT的惡意應(yīng)用程序，這些應(yīng)用程序聲稱(chēng)可提供ChatGPT的快捷訪問(wèn)方式，實(shí)際上可能會(huì)對(duì)毫無(wú)戒心的用戶發(fā)起木馬攻擊或竊取其敏感信息等。未通過(guò)安全合法的連接訪問(wèn)ChatGPT的用戶可能面臨一定的風(fēng)險(xiǎn)，如他人未經(jīng)授權(quán)訪問(wèn)用戶的個(gè)人數(shù)據(jù)、個(gè)人或系統(tǒng)信息遭泄露。至關(guān)重要的是，用戶要驗(yàn)證其用于連接ChatGPT的應(yīng)用程序或服務(wù)的真實(shí)性，并確保通信通道的安全性，如HTTPS或安全的API訪問(wèn)。對(duì)于那些聲稱(chēng)可提供ChatGPT訪問(wèn)權(quán)限的可疑或未經(jīng)驗(yàn)證的應(yīng)用程序，用戶須謹(jǐn)慎對(duì)待，并避免在未經(jīng)適當(dāng)驗(yàn)證的情況下進(jìn)行下載或使用1。選擇現(xiàn)有會(huì)話或發(fā)起新會(huì)話ChatGPT），以用戶輸入隨后，用戶提交初始輸入內(nèi)容。雖然輸入內(nèi)容涉及到的知識(shí)和技能問(wèn)題或人為錯(cuò)誤可能與安全性沒(méi)有直接關(guān)系，但這些問(wèn)題或錯(cuò)誤仍會(huì)造成一定影響。通過(guò)木馬或其他中間人攻擊方法，用戶輸入可能會(huì)被攔截，這就是為什么許多組織要求員工謹(jǐn)慎使用ChatGPT并避免輸入機(jī)密信息的原因。這些被攔截的輸入內(nèi)容可能會(huì)在ChatGPT收到之前被篡改，從而可能導(dǎo)致不良后果。此外，ChatGPT用戶眾多，有時(shí)會(huì)導(dǎo)致系統(tǒng)可用性受限。惡意攻擊者可以通過(guò)延遲截1https:///computing/chatgpt-malware-continues-with-fake-subscription-based-apps/獲的輸入內(nèi)容對(duì)這一點(diǎn)加以利用，操縱用戶體驗(yàn)，并可能影響輸出內(nèi)容的質(zhì)量。為了應(yīng)對(duì)這些威脅，用戶應(yīng)該采用安全通信通道和強(qiáng)身份驗(yàn)證方式，并在與ChatGPT等AI系統(tǒng)交互時(shí)謹(jǐn)慎輸入相關(guān)信息。ChatGPT響應(yīng)一旦ChatGPT生成初始響應(yīng)，該響應(yīng)就可能被攻擊者攔截，影響機(jī)密和隱私信息安全。同時(shí)，攻擊者可以通過(guò)分析該響應(yīng)篡改線程，或者在信息發(fā)送給終端用戶的過(guò)程中篡改線程。然后，生成的內(nèi)容會(huì)發(fā)送給用戶，并通過(guò)API或網(wǎng)站提供訪問(wèn)。攻擊者可以阻礙通信、篡改輸出或以其他方式影響用戶接收并用于決策和行動(dòng)的內(nèi)容。針對(duì)上述內(nèi)容，ChatGPT指出：可以采取措施規(guī)避這些風(fēng)險(xiǎn)。例如，組織可考慮在用戶登錄可以采取措施規(guī)避這些風(fēng)險(xiǎn)。例如，組織可考慮在用戶登錄ChatGPT時(shí)進(jìn)行雙因素身份驗(yàn)證，或通過(guò)加密防止用戶輸入遭到攔截。此外，應(yīng)鼓勵(lì)用戶驗(yàn)證ChatGPT網(wǎng)站的真實(shí)性，并謹(jǐn)慎輸入敏感信息。如何確保企業(yè)安全使用ChatGPT確保企業(yè)安全使用ChatGPT雖然本文并未深入探討ChatGPT或其他生成式AI模型在組織中的使用指南或策略，但對(duì)于企業(yè)來(lái)說(shuō)，在使用ChatGPT等AI驅(qū)動(dòng)工具時(shí)，仍須了解必要的安全措施。后續(xù)報(bào)告將詳細(xì)討論該話題，詳見(jiàn)：/research/working-groups/artificial-intelligence/。與此同時(shí)，企業(yè)可考慮采用以下高級(jí)策略，確保ChatGPT的安全使用：ChatGPT等AIAI等AIChatGPTChatGPT等AI工具的安全問(wèn)題或事件。AI采取以上策略既可確保企業(yè)安全、負(fù)責(zé)任地使用ChatGPT等AI驅(qū)動(dòng)工具，也能最大限度地發(fā)揮這些技術(shù)的潛在價(jià)值。ChatGPTChatGPT于2022年11月推出，旨在收集用戶體驗(yàn)信息，并非專(zhuān)為企業(yè)應(yīng)用程序而生。要訪問(wèn)ChatGPT，用戶必須通過(guò)電話號(hào)碼驗(yàn)證等方式注冊(cè)。由于數(shù)據(jù)主要用于模型改進(jìn)，因此建議用戶不要上傳敏感信息。與使用谷歌搜索的注意事項(xiàng)類(lèi)似，使用ChatGPT時(shí)，請(qǐng)確認(rèn)網(wǎng)站是否正確，并避免輸入客戶身份數(shù)據(jù)或敏感信息。使用該服務(wù)的企業(yè)可考慮使用代理服務(wù)器提高安全性和保護(hù)用戶隱私。至關(guān)重要的是，用戶需謹(jǐn)記該原型的首要目標(biāo)是從用戶交互中獲取見(jiàn)解，因此在涉及敏感信息時(shí)須謹(jǐn)慎操作。新必應(yīng)新必應(yīng)（NewBing）是一款基于ChatGPT模型開(kāi)發(fā)的智能搜索引擎，識(shí)別正確的URL標(biāo)識(shí)符尤為重要。被屏蔽：必應(yīng)AI搜索結(jié)果新必應(yīng)由ChatGPT模型演變而來(lái)，使用時(shí)須注意識(shí)別正確的URL。鏈接如下：/search?form=MY0291&OCID=MY0291&q=Bing+AI&showconv=1（注：該鏈接在中國(guó)大陸可能無(wú)法訪問(wèn)）登錄新必應(yīng)需填寫(xiě)注冊(cè)郵箱，并通過(guò)AzureActiveDirectory和MicrosoftAuthenticator進(jìn)行多因素身份驗(yàn)證以確保數(shù)據(jù)和隱私安全。所有請(qǐng)求均使用HTTPS協(xié)議。新必應(yīng)的使用條款詳見(jiàn)“TheNewBing-LearnMore（新必應(yīng)-了解更多）”。其中，尤為關(guān)注使用條款中缺少擔(dān)保、陳述或保證條款等信息，且此在線服務(wù)僅供娛樂(lè)之用，服務(wù)過(guò)程中可能包含或生成錯(cuò)誤信息。用戶需對(duì)使用此在線服務(wù)而帶來(lái)的相關(guān)風(fēng)險(xiǎn)負(fù)責(zé)。強(qiáng)烈建議各組織針對(duì)如何使用ChatGPT和新必應(yīng)開(kāi)展員工培訓(xùn)，使員工了解這些工具的潛在風(fēng)險(xiǎn)，避免泄露公司敏感信息，谷歌翻譯就曾發(fā)生類(lèi)似事件。微軟AzureOpenAI公共云服務(wù)推出了OpenAI大語(yǔ)言模型。該模型屬于Azure認(rèn)知服務(wù)系列，以平臺(tái)即服務(wù)（PaaS）方式運(yùn)行。企業(yè)可通過(guò)訂閱設(shè)置控制該服務(wù)的使用情況，既能自由選擇