ChatGPT或将带来新的产业安全隐患

3月21日，中国产业互联网发展联盟、中国网络空间新兴技术创新论坛、腾讯安全、腾讯研究院联合推出《2023产业互联网安全十大趋势》。报告指出，2023年，外部欺诈威胁、企业出海合规与安全风险、供应链风险、数据泄露、AIGC隐形危机、多重勒索攻击等诸多安全挑战依然存在，不同发展阶段的企业安全水位也严重不均衡。产业应当以一体化的安全免疫力建设思路，尽快弥补安全短板，筑牢数字化底座。

近来，伴随ChatGPT4、百度文心一言等大模型的接连发布，AIGC赛道的热度持续攀升，成为科技界最热的风口之一。各大厂商忙着抢占大模型高地，资本市场也表现出极大的热情，相关投融资热度开始飙升。比如，由李开复创新工场孵化的AI企业——澜舟科技刚成立不久，就推出了中文语言模型——孟子轻量大模型，近日火速完成了Pre-A+轮融资。前京东高管周伯文创立的衔远科技也已完成数亿元天使轮融资。

知其安创始人聂君在接受记者采访时指出，ChatGPT或将带来一些全新的产业安全隐患。首先是数据安全隐患。“很多用户在试用过程中，会把一些像代码这样的敏感信息放到这里面去。ChatGPT所有这些服务器、数据都是保存在国外，这些敏感数据也将被保存在国外，这是目前我们看到的一个比较大的风险。”他说道。

第二，ChatGPT为用户提供的结果并不具备验真或者验伪的作用，如果直接拿ChatGPT结果来做相应的安全结果的确认，也会带来一些隐患的问题。“从攻击者角度来讲，ChatGPT会带来更多攻击者效率提升，”腾讯安全策略发展中心总经理吕一平对记者说道，“特别在诈骗场景下，或者在钓鱼场景下，安全专业领域有一个用词叫‘社工’，指社交攻击的方式，就是通过跟你聊天，或者邮件沟通，诱使你去点击恶意链接，或者会在毫不感知情况下下载了一些恶意软件或者工具，可能会感染你的电脑或者偷窃你的数据。原来像这种怎么做角色扮演，怎么做钓鱼剧本，需要有人扮演一个角色，肯定有一套说辞和口径，现在有了ChatGPT，就可以通过人工智能的方式来做剧本设计。”

以前，如果人工做这样一个剧本设计，其实花很长时间去做，因为网络攻击者要深入理解对方工作，要扮演HR、保险公司业务员等角色还需要对这些业务有比较清晰的了解。现在，通过ChatGPT可以大幅度提升剧本设计效率。

根据经验，以往社交诱骗中角色比较多，以前是HR、财务、保险、银行业务员等，但是未来场景下可能更多不同的设计角色出现，在ChatGPT的效率辅助下，会引发这种钓鱼攻击产生更多多样化角色、诱骗手段。

吕一平指出，安全是一个伴生属性，新技术的产生和应用一定会带来新的安全风险。对于我们做安全专业领域这个方向上面的同仁来讲，大家是始终关注新的技术发展，因为新技术发展带来新的风险，是需要我们应对的。

不过，聂君表示，目前确实也有不少安全行业从业者使用ChatGPT文档编写、材料整理这方面提升效率，或者把原先通过人工来完成的一些相对比较中低端的技术活会交给ChatGPT来做，比如解析日志、编写一些安全运营的策略等，在这些方面，ChatGPT对于产业安全也是具备一定的积极作用的。

在企业上云大趋势下，云原生安全的重要性愈发凸显。对于企业而言，要做安全建设首先是要满足业务需求，然后要考虑如何能够更好设计安全结构、安全体系、安全能力建设，更好满足这个业务的需求。这其实是一个很复杂的过程，可能需要通过不同安全厂商提供不同的安全产品和服务，来满足这个需求。这对很多企业来讲是一个很大的功课。

“云原生安全就是把安全做成一种云服务的形态提供给上云的企业，”吕一平建议称。尤其对于中小企业而言，可以通过合理的成本实现比较好的安全防护能力建设，让“安全”从一个奢侈品变成一个必需品。

聂君认为，安全从来不是独立存在，而是跟整个IT基础设施、研发结构相关的。很多安全问题做到最后，从根本上来看，是底层架构限制和制约了安全问题的解决。当前，由于云本身的整个IT基础结构发生了革命性的变化，在这个变化过程当中，需要把安全的能力嵌入到云环境里面，云原生安全解决方案将会带来比较革命性一些变化。