OpenAI 的 ChatGPT 已迅速成为许多程序员的朋友,但对于网络安全研究人员来说,它显然不够可靠,无法捕捉到危险的漏洞。
网络安全公司 Immunefi 在最近的一份报告中发现,许多安全研究人员将 ChatGPT 作为日常工作流程的一部分。根据该公司的调查,约 76% 的白帽研究人员–那些探测系统和代码弱点以进行修复的研究人员–经常使用 ChatGPT,而不使用 ChatGPT 的研究人员仅占 23%。
然而,报告指出,许多研究人员发现 ChatGPT 在关键领域存在不足。Immunefi 发现,约 64% 的受访者认为 ChatGPT 在识别安全漏洞方面的准确性 “有限”,约 61% 的受访者认为 ChatGPT 在识别黑客可能滥用的漏洞方面缺乏专业知识。
Immunefi公司的传播负责人乔纳-迈克尔斯(Jonah Michaels)告诉TCN,报告显示,白帽子们仍然 “出人意料地看好 “ChatGPT的潜力,尤其是在教育方面,但他表示,这并不是他的公司对其工作的看法。
“迈克尔斯说:”白帽子们认为它有更广泛的用途。”我们认为它的用途比较有限,因为我们看到它基本上被用来提交垃圾漏洞报告。
专门从事Web3领域漏洞赏金计划的Immunefi公司,自ChatGPT首次公开以来,就禁止用户使用它提交漏洞报告。该公司发布的一条推文包括一张提示截图,提示用户为什么不使用 ChatGPT 本身进行漏洞报告,而该聊天机器人的回应是,它的输出 “可能不准确或不相关”。
为此,Michaels 说,Immunefi 会立即禁止基于 ChatGPT 提交错误报告的用户。他说,原因在于,从 “三千英尺的视角 “来看,这些报告往往写得足够好,足以令人信服,但它们通常都是基于根本不存在的功能,漏洞百出。
以下是 ChatGPT 关于为何不应使用 ChatGPT 生成和提交错误报告的内容。
另外提醒您,在 Immunefi 上提交 ChatGPT 错误报告将导致您被禁言,因为其输出永远不会准确或相关。pic.twitter.com/nOvVOmQVmG
– Immunefi (@immunefi) 2023年1月4日
。
自去年 11 月发布以来,ChatGPT 一直受到一些内容准确性不一致的困扰,从虚假的性侵指控到引用法庭文件中并不存在的法律先例。
OpenAI 警告用户不要盲目相信 GPT,因为它容易提供误导性或完全不准确的信息,通常被称为 “幻觉”。OpenAI 的发言人没有回复 TCN 就此事发表评论的请求。
在 Immunefi 的报告中,白帽子社区表达了这样一种观点,即 ChatGPT 模型需要在诊断网络威胁或进行审计方面接受更多培训,因为它目前缺乏这方面的专业知识。
米歇尔斯说,聊天机器人目前还没有合适的数据集,为了安全起见,开发人员目前应该依靠人工编写代码。不过,他补充说,未来有一天,ChatGPT 或其他类似的生成式人工智能工具可以以更可靠的方式完成这些任务。
“ChatGPT是否有可能改进,并在项目库和区块链世界的更多方面进行专门训练?我想是的。”Michaels 告诉 TCN。”但我不认为我现在可以建议这样做,因为赌注有多大,这个领域有多新。”
