2022年11月，OpenAI推出革命性的AI語(yǔ)言模型ChatGPT，數(shù)百萬(wàn)用戶(hù)被其強(qiáng)大功能折服。然而對(duì)很多人來(lái)說(shuō)，最初的好奇很快變成了真心的憂慮，擔(dān)心該工具可能方便動(dòng)機(jī)不良者作惡。具體而言，ChatGPT可能為黑客破壞高級(jí)網(wǎng)絡(luò)安全軟件提供了新方法。2022年全球數(shù)據(jù)泄露事件增加38%，網(wǎng)絡(luò)安全行業(yè)已經(jīng)廣受質(zhì)疑，如今管理者必須認(rèn)識(shí)到AI的影響力在日益增長(zhǎng)，并采取相應(yīng)行動(dòng)。

制定解決方案之前，必須確定ChatGPT廣泛應(yīng)用帶來(lái)的關(guān)鍵威脅。本文將研究這些新風(fēng)險(xiǎn)，探索網(wǎng)絡(luò)安全專(zhuān)業(yè)人員應(yīng)對(duì)所需的培訓(xùn)和工具，并呼吁政府采取監(jiān)督措施，確保AI應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)安全造成影響。

盡管基于語(yǔ)言的更早期AI已經(jīng)開(kāi)源（或向公眾開(kāi)放）多年，ChatGPT顯然是迄今為止最先進(jìn)的迭代版本。尤其是，ChatGPT能在拼寫(xiě)、語(yǔ)法和動(dòng)詞時(shí)態(tài)錯(cuò)誤的情況下與用戶(hù)順利交談，讓人感覺(jué)聊天窗口另一端就像真人一樣。從黑客的角度來(lái)看，ChatGPT改變了行業(yè)的游戲規(guī)則。

美國(guó)聯(lián)邦調(diào)查局的《2021年互聯(lián)網(wǎng)犯罪報(bào)告》（2021 Internet Crime Report）發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚(yú)（Phishing Scams）是美國(guó)最常見(jiàn)的信息技術(shù)威脅。然而，由于經(jīng)常出現(xiàn)拼寫(xiě)和語(yǔ)法錯(cuò)誤，加之往往措辭尷尬，多數(shù)網(wǎng)絡(luò)釣魚(yú)詐騙都很容易識(shí)別，尤其當(dāng)詐騙者的母語(yǔ)并非英語(yǔ)時(shí)。然而ChatGPT可以為全球各地的黑客提供近乎流利的英語(yǔ)，“協(xié)助”網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

對(duì)網(wǎng)絡(luò)安全管理者來(lái)說(shuō)，由于復(fù)雜的網(wǎng)絡(luò)釣魚(yú)攻擊增加，需要立即關(guān)注并采取可行的解決方案。管理者要為IT團(tuán)隊(duì)配備工具甄別“突然”收到的郵件，確定哪些內(nèi)容由ChatGPT生成，哪些為人工生成。幸運(yùn)的是，“ChatGPT檢測(cè)”（ChatGPT Detector）技術(shù)已經(jīng)存在，并且很可能與ChatGPT同步發(fā)展。理想情況下，IT基礎(chǔ)設(shè)施將集成AI檢測(cè)軟件，自動(dòng)篩選并標(biāo)記AI生成的郵件。此外還有一點(diǎn)很重要，各級(jí)員工都要接受最新網(wǎng)絡(luò)安全意識(shí)和預(yù)防技能的常規(guī)培訓(xùn)和再培訓(xùn)，格外關(guān)注利用AI技術(shù)的網(wǎng)絡(luò)釣魚(yú)詐騙。不管怎樣，該行業(yè)和廣大公眾都有責(zé)任繼續(xù)倡導(dǎo)先進(jìn)的檢測(cè)工具，不能只是在吹捧AI不斷壯大的能力。

ChatGPT精通寫(xiě)代碼和其他編程工具，不過(guò)這款A(yù)I被設(shè)置為不可生成惡意或黑客攻擊代碼。如果有人提交黑客代碼需求，ChatGPT將告知用戶(hù)該軟件目標(biāo)是“遵守道德規(guī)范和政策的同時(shí)，協(xié)助完成有益的合乎道德的任務(wù)”。

然而，只要采取一定技巧和刺激，惡意行為者當(dāng)然有可能操縱ChatGPT，欺騙AI生成黑客代碼。事實(shí)上，黑客已經(jīng)在為此謀劃。

例如，以色列安全公司Check Point最近在著名的地下黑客論壇上發(fā)現(xiàn)黑客發(fā)布了一篇帖子，聲稱(chēng)正測(cè)試聊天機(jī)器人以重新編寫(xiě)惡意軟件。如果出現(xiàn)一條類(lèi)似線索，可以肯定地說(shuō)，世界各地和“暗網(wǎng)”中肯定存在更多。網(wǎng)絡(luò)安全專(zhuān)業(yè)人員需要適當(dāng)培訓(xùn)（即不斷提高技能）和資源應(yīng)對(duì)日益增長(zhǎng)的威脅，無(wú)論來(lái)自AI還是其他方面。

網(wǎng)絡(luò)安全專(zhuān)業(yè)人員也有機(jī)會(huì)自行配置AI技術(shù)，從而更及時(shí)地偵測(cè)并防御AI生成的黑客代碼。盡管公共輿論對(duì)ChatGPT為惡意行為者提供的能力紛紛表示失望，但重要的是記住，善意行為者同樣可以利用該能力。除了盡力防止與ChatGPT相關(guān)的威脅，網(wǎng)絡(luò)安全培訓(xùn)還應(yīng)該指導(dǎo)網(wǎng)絡(luò)安全專(zhuān)業(yè)人員如何利用ChatGPT。隨著技術(shù)快速發(fā)展開(kāi)啟網(wǎng)絡(luò)安全威脅的新時(shí)代，必須審視各種可能性并推動(dòng)新培訓(xùn)跟上步伐。此外，軟件開(kāi)發(fā)人員應(yīng)該努力開(kāi)發(fā)生成式AI，此類(lèi)AI可能比ChatGPT更強(qiáng)大，并且專(zhuān)門(mén)為人工安全運(yùn)營(yíng)中心（Security Operations Centers , SOC）設(shè)計(jì)。

人們對(duì)惡意行為者利用AI幫助黑客入侵外部軟件展開(kāi)了大量討論，卻很少討論ChatGPT本身被黑客入侵的可能性。一旦ChatGPT遭到入侵，惡意行為者就能利用那些通常被視為可信的來(lái)源傳播虛假信息。

據(jù)稱(chēng)，ChatGPT已采取措施識(shí)別并避免回答帶有政治色彩的問(wèn)題。然而，如果AI被黑客入侵操縱，提供看似客觀但實(shí)際上隱藏很深的偏見(jiàn)信息或扭曲視角的信息，AI就可能變成危險(xiǎn)的宣傳機(jī)器。ChatGPT遭入侵后傳播錯(cuò)誤信息的能力可能令人擔(dān)憂，所以政府可能需要加強(qiáng)對(duì)先進(jìn)AI工具和OpenAI等公司的監(jiān)督。

拜登政府已發(fā)布《人工智能權(quán)利法案藍(lán)圖》（Blueprint for an AI Bill of Rights），但隨著ChatGPT推出，風(fēng)險(xiǎn)比以往都高。若要更進(jìn)一步，就需要采取監(jiān)督措施，確保OpenAI和其他推出生成式AI產(chǎn)品的公司定期審查安全功能，降低黑客入侵的風(fēng)險(xiǎn)。此外，在AI開(kāi)源之前，新推出的AI模型應(yīng)符合最低安全措施門(mén)檻。例如，3月初必應(yīng)（Bing）推出了自家的生成式AI，Meta也即將啟用本公司開(kāi)發(fā)的強(qiáng)大工具，還有更多科技巨頭正在摩拳擦掌。

在人們不斷贊嘆ChatGPT和新興生成式AI市場(chǎng)潛力之時(shí)，采取制約和平衡之道對(duì)于確保該技術(shù)不會(huì)走向失控至關(guān)重要。不僅網(wǎng)絡(luò)安全管理者要對(duì)員工再培訓(xùn)并提升相關(guān)能力，政府發(fā)揮更多監(jiān)管作用，人們對(duì)AI的心態(tài)和態(tài)度也要全面轉(zhuǎn)變。

我們必須重新構(gòu)想AI的基礎(chǔ)，尤其是像ChatGPT之類(lèi)的開(kāi)源軟件。在新工具向公眾開(kāi)放之前，開(kāi)發(fā)人員要問(wèn)問(wèn)自己該工具的功能是否合乎道德，新工具是否存在切實(shí)禁止外部操縱的基礎(chǔ)“編程核心”（programmatic core）？如何建立相關(guān)標(biāo)準(zhǔn)？如果未能做到，如何確保開(kāi)發(fā)人員對(duì)之負(fù)責(zé)？目前各組織制定了偏不可知論的標(biāo)準(zhǔn)，以確保從教育技術(shù)到區(qū)塊鏈，甚至數(shù)字錢(qián)包領(lǐng)域，不同技術(shù)之間的交流安全且合乎道德。最關(guān)鍵的是，生成式AI也要應(yīng)用同樣的原則。

ChatGPT的對(duì)話創(chuàng)下歷史新高，隨著技術(shù)不斷進(jìn)步，技術(shù)管理者必須開(kāi)始思考這一現(xiàn)象對(duì)團(tuán)隊(duì)、公司乃至全社會(huì)意味著什么。否則，科技公司不僅會(huì)在利用和部署生成式AI以改善業(yè)務(wù)成果方面落后于競(jìng)爭(zhēng)對(duì)手，也無(wú)法預(yù)測(cè)并防御可能操縱技術(shù)牟取私利的新一代黑客。在聲譽(yù)和收入岌岌可危的背景之下，科技行業(yè)必須團(tuán)結(jié)起來(lái)，制定合適的保護(hù)措施，讓ChatGPT革命值得歡呼，而不是讓人心生恐懼。

作者簡(jiǎn)介：

吉姆·切爾頓在全球教育技術(shù)公司Cengage Group擔(dān)任首席技術(shù)官。目前他還擔(dān)任該公司網(wǎng)絡(luò)安全培訓(xùn)業(yè)務(wù)Infosec的代理總經(jīng)理。

本文來(lái)自微信公眾號(hào)“哈佛商業(yè)評(píng)論”（ID：hbrchinese），作者：吉姆·切爾頓（Jim Chilton），編輯：劉雋，36氪經(jīng)授權(quán)發(fā)布。