你是否曾經嘗試讓ChatGPT幫你寫程式? 結果如何? 我在自學程式開發的時候,因為要一個人完成前後端所有的開發工作,所以難免會遇到不會的地方。正常來講,我會到網路上尋找答案,或是直接在國外論壇上發問。但是自從ChatGPT推出,這些工作變得非常簡單,因為不會找到沒有精準符合我的需求的資料,也不需要等待好幾個小時直到有好心人願意回答我的問題。好心人非常少見。即使我有詳細敘述我遇到的問題,也確定這個問題沒有被其他人問過,我在Stack Overflow問的第一個問題沒幾分鐘就被噓了。不過用ChatGPT有一些缺點,最大的就是它永遠認為自己是對的,所以就算拿它生成的程式來用時出現問題,也不一定能解決。不過,這只是個小問題,因為頂多是它幫不上忙,但是如果它會幫倒忙,甚至會危害你,那問題可就大了。
根據一份Endor Labs的報告顯示,現階段的大型語言模型,對於惡意程式碼的辨識率低於一成。這聽起來可能危害不大,畢竟會接觸並分析惡意程式的人,通常是這個領域的專家。不過,想像一個情境: 你在GitHub(或任何開源平臺)上看到一些很喜歡的程式,雖然是開源的,但是不代表它是安全的,尤其是很冷門、沒有被很多使用者詳細閱讀過程式碼的程式。這時候你可能看不懂程式碼,或是懶得看,於是複製下來丟給ChatGPT看看。這時候,對惡意軟體的辨識率低下就造成了嚴重的問題,因為它回報程式是安全的時候,很有可能是它的失誤,而且一旦程式碼被AI分析過是安全的,你在執行的時候也會更容易放下戒心。
這個報告的作者也發現,在開源的AI專案中,有超過一半都被發現有使用到有安全漏洞的套件甚至是惡意套件,有些甚至有超過100個。說到惡意套件,同一份報告指出,在OpenAI的ChatGPT API推出的短短五個月內,就被超過900個可疑的npm及PyPi套件使用。前幾天的文章裡,我就有提到惡意npm套件能帶來的危害。
如果你不是程式開發者,你大概不會擔心以上提到的問題,不過最近AI還被拿來做很邪惡的事。雖然一般的大型語言模型對惡意程式的辨識率很低,不過這是指普通的多用途大型語言模型,如果是特別訓練的就不一樣了。就在幾天前,某知名駭客論壇上有人開始販售WormGPT,這是一個使用大量惡意程式碼進行訓練而成的模型,目的是快速生成惡意程式。雖然它可能沒辦法獨力完成一整個惡意程式,但是它大大降低了製作惡意軟體的技術門檻,原本要寫一個惡意軟體,必須精通多個程式語言,並學會如何迴避防毒軟體、防止被資安專家破解,但是有了這個AI,只要能看懂它生成的程式碼,並有基本的除錯能力,就一樣能做出惡意軟體來。這就像一個學生只要看得懂題目,並且會操作計算機,解題速度與正確率就可能打敗數學老師一樣。
不過你可以暫時放心,因為它的能力還是有限。WormGPT雖然可能會讓一些新手駭客快速學會惡意軟體開發,但是從它的販售頁面的截圖,它的能力還是很弱,所以不太可能在短期內突然冒出大量的高階惡意軟體,就像你很難用普通的非工程計算機解微積分問題一樣。即便如此,隨著這種技術快速進化,你也應該建立更高的網路安全意識,保護自己的隱私、資料與金錢的安全,而你能做的事情中,最簡單的就是持續追蹤我每天的新文章,因為我會針對這些議題進行討論。如果你有任何意見或建議,都可以在新開放的留言區留言!