微新創(chuàng)想(idea2003.com) 8月28日消息:人工智能和大型語言模型（LLMs）的生成潛力已經引起了安全行業(yè)的廣泛關注。這些新工具可能有助于編寫和掃描代碼、補充不足的團隊、實時分析威脅，并執(zhí)行各種其他功能，以幫助使安全團隊更準確、高效和生產力。

隨著時間的推移，這些工具也可能接管今天安全分析員所厭惡的單調重復任務，為需要人類注意力和決策制定更有吸引力和影響力的工作騰出空間。

然而，生成式 AI 和 LLMs 仍處于相對初級階段——這意味著組織仍在探索如何負責任地使用它們。除此之外，認識到生成式 AI 潛力不只是安全專家一個人知道。對于安全專家來說好事往往也是攻擊者所喜歡的事情，今天對手正在探索使用生成式 AI 進行其自己邪惡目標方式。

理解生成式 AI 及其負責任使用能力將至關重要，在技術變得更加先進和普及的同時。

使用生成式 AI 和 LLMs

可以毫不夸張地說，像 ChatGPT 這樣的生成式 AI 模型可能會從根本上改變我們處理編程和編碼的方式。確實，它們不能完全從頭開始創(chuàng)建代碼（至少目前還沒有）。

但是如果您有一個應用程序或程序的想法，那么生成式 AI 很有可能幫助您執(zhí)行它。將這些基礎任務交給能力強大的人工智能意味著工程師和開發(fā)人員可以自由參與更適合他們經驗和專業(yè)知識的任務。

話雖如此，生成式 AI 和 LLMs 基于現(xiàn)有內容創(chuàng)建輸出，無論是來自公開互聯(lián)網還是特定數(shù)據(jù)集訓練。這意味著它們擅長迭代之前所做過的事情，對攻擊者來說也是一種福音。

例如，在同樣使用相同單詞集合時 AI 可以創(chuàng)建內容迭代版本，在類似于已存在但足以避免檢測到攻擊者惡意代碼方面也可進行創(chuàng)作。利用該技術后果將產生獨特有效負或旨在規(guī)避圍繞已知攻擊簽名構建安全防御措施而設計出來的攻擊。

攻擊者正在利用 AI 開發(fā) Webshell 變體，這是用于在受損服務器上維持持久性的惡意代碼。攻擊者可以將現(xiàn)有 Webshell 輸入生成式 AI 工具，并要求其創(chuàng)建惡意代碼的迭代版本。然后可以使用這些變體，在與遠程代碼執(zhí)行漏洞（RCE）相結合的情況下，在受感染的服務器上規(guī)避檢測。

LLMs 和 AI 為更多零日漏洞和復雜利用程序讓路

資金充裕的攻擊者也擅長閱讀和掃描源代碼以識別漏洞，但此過程耗時且需要高水平技能。LLMs 和生成式 AI 工具可以幫助此類攻擊者甚至不那么熟練地發(fā)現(xiàn)并執(zhí)行復雜利用程序，方法是分析常用開源項目或對商業(yè)現(xiàn)成軟件進行逆向工程，幫助此類攻擊者（甚至是那些技能較差的攻擊者）發(fā)現(xiàn)并實施復雜的攻擊。

在大多數(shù)情況下，攻擊者會編寫工具或插件來自動化此過程。他們也更有可能使用開源 LLMs，因為它們沒有相同的保護機制來防止此類惡意行為，并且通?？梢悦赓M使用。其結果將是零日攻擊和其他危險漏洞的數(shù)量激增，類似于 MOVEit 和 Log4Shell 漏洞，這些漏洞使攻擊者能夠從易受攻擊的組織中竊取數(shù)據(jù)。

不幸的是，一般組織的代碼庫中已經潛伏著數(shù)萬甚至數(shù)十萬個未解決的漏洞。當程序員引入人工智能生成的代碼而不掃描其漏洞時，我們將看到由于不良的編碼實踐而導致這個數(shù)字上升。當然，攻擊者和其他先進團體將準備好利用這一點，而生成式人工智能工具將使他們更容易做到這一點。

謹慎前行

這個問題沒有簡單的解決方案，但組織可以采取措施確保安全和負責任地使用這些新工具。一種方法是與攻擊者做同樣的事情：使用 AI 工具掃描其代碼庫中的潛在漏洞，組織可以識別其代碼中可能被利用的部分，并在攻擊者發(fā)動攻擊之前進行修復。

對于希望使用生成式 AI 工具和 LLMs 來協(xié)助代碼生成的組織而言，這尤為重要。如果 AI 從現(xiàn)有存儲庫中拉入開源代碼，則必須驗證它是否帶有已知的安全漏洞。

今天安全專業(yè)人員對生成式 AI 和 LLMs 使用和傳播所擔心的問題非常真實——最近一群技術領袖敦促「暫停 AI」以應對社會風險。雖然這些工具有潛力使工程師和開發(fā)人員顯著提高生產力，但當今組織在讓 AI 脫離比喻意義上的束縛之前，必須仔細考慮它們的使用方式，并實施必要的保障措施。