今日,華為中國官微發布了一篇來自華為安全AI算法專家,中科院博士李智華“從防御視角探討ChatGPT對網絡安全的影響”的文章,對ChatGPT在網絡安全領域的應用進行能力評估。
據介紹,ChatGPT在網絡安全領域的應用主要有以下方面:威脅檢測:提取簽名規則、識別惡意代碼;代碼審計:分析代碼漏洞;威脅情報:從文本中提取情報;安全運營:生成安全運營報告。
以比較簡單的存在SQL注入的代碼審計為例,ChatGPT的回答還算讓人滿意,不過,當李智華嘗試一個不存在SQL注入的代碼時,ChatGPT就開始“一本正經的胡說八道”了。
李智華表示,實際上,上面的代碼可以有效地防止SQL注入,原因包括采用預編譯,避免了拼接SQL語句,清晰地劃分了代碼與數據;檢測了數據類型是否僅為數字;判定結果是否僅為一條,有效防止“拖庫”攻擊。ChatGPT回答錯誤,進一步追問ChatGPT,讓其給出poc代碼,結果答案果然是錯的。
李智華稱,總體而言,ChatGPT對代碼審計有一定的幫助,但是需要人工核實它回答的結果是否正確。