你不问它不说:ChatGPT 创建的大部分代码都不安全

最新推荐文章于 2024-11-16 15:40:18 发布
最新推荐文章于 2024-11-16 15:40:18 发布
阅读量742 收藏
点赞数
文章标签: chatgpt 安全 人工智能
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247516325&idx=1&sn=e4ee4b5aaa31b62978609f490f22e81d&chksm=ea94b1cfdde338d98282904d56362bda945cadbae39cb97602577b5c7349c337d01acdc1c65e&scene=126&sessionid=0
版权
魁北克大学的研究人员发现ChatGPT生成的代码往往存在安全问题,低于最低安全标准。在测试的21个程序中,只有12个是安全或经修改后安全的。ChatGPT虽然能识别某些漏洞,但不会主动指出代码的不安全性,除非被直接询问。研究人员指出,依赖这类工具可能带来风险,需要提高使用者对潜在安全隐患的认识。
摘要由CSDN通过智能技术生成

6c1a910091fc13716044406569547317.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

2070b1130b5b7204a571e69c6b6ad3aa.gif

ChatGPT 是OpenAI 公司用于聊天机器人的大型语言模型,它生成的代码大部分都是不安全的,而且它虽然能够指出其缺点却无法提醒用户注意代码的不当之处。

就在学术界如火如荼地探讨大语言模型的可能性和限制时,四名来自魁北克大学的研究人员已深入分析由 ChatGPT 这个非智能、文本原型机器人所生成的代码的安全性。

他们在预发表的论文《ChatGPT 生成的代码有多安全?》中结合自己的研究成果,给出了答案:不是非常安全。

这四名研究员在论文中表示,“结果令人担忧。在多个案例中,我们发现ChatGPT 所生成代码的安全性低于多数上下文中可用的最低安全标准。事实上,当问到所生成的代码是否安全时,ChatGPT 能够说明是不安全的。”

研究员要求 ChatGPT 通过C、C++、Python 和 Java 生成21款程序和脚本后,得出了这一结论。安排给 ChatGPT 的编程任务是经过挑选的,目的是便于展示特定的安全漏洞如内存损坏、拒绝服务以及与反序列化和加密执行不当的漏洞。

例如,第一个程序是用于在公开目录中共享文件的 C++ FTP 服务器。ChatGPT 所生成的代码中未包含输入清理,从而导致软件易受路径遍历漏洞影响。总体而言,ChatGPT 在第一次设法生成的21个程序中,只有5个是安全的。再进一步提问使其更改错误之处时,ChatGPT 设法生成了7个更安全的应用,尽管这里的“安全”仅针对被评估的特定漏洞,并非说明最终代码中不存在任何其它可利用的条件。

这项研究成果与 GitHub Copilot 所做的评估有所不同,但非常类似。Copilot 是基于 GPT-3 模型家族的专门用于代码生成的另外一个LLM。其它研究成果对 ChatGPT 的错误进行了更加全面的分析。同时,这些模型也用于识别安全问题。

论文提到,部分问题似乎源自 ChatGPT 并未假设代码执行的对抗模型。他们认为该模型“不断通知我们称,不要向所创建的易受攻击的程序投入无效输入就能规避这些安全问题。”

不过,论文也提到,“ChatGPT 似乎发现并确实立即承认它所建议的代码中存在多个严重漏洞。”除非要求对所建议代码的安全性进行评估,否则ChatGPT 不会说明任何内容。

该论文的作者之一兼魁北克大学计算机科学和工程教授 Raphaël Khoury 提到,‘’显然,这是一种算法。虽然它不清楚任何东西,但能够识别出不安全的行为。”最初,ChatGPT 对安全问题的建议是仅使用合法输入,这是现实世界中非新手提出的建议。只有当提出需要修复问题时,它才会提供有用的指南。作者认为这种情况并不理想,因为了解需要提问的问题的前提是假设提问人熟悉具体的漏洞和编程技术。换言之,如果知道让 ChatGPT 修复漏洞的正确提示语,则可能能够理解如何修复。

研究人员还提到,ChatGPT 将拒绝生成攻击代码但将生成易受攻击的代码存在道德不一致性。他们援引一个 Java 反序列化漏洞的例子表示,“虽然ChatGPT 生成了易受攻击的代码并给出如何使其更加安全的建议,但它指出无法创建更安全的代码版本。”

Khoury 认为目前来看 ChatGPT 是一种风险,但这并非说明它无用武之地。他指出,我们实际上已经看到学生在用它,程序员也会在野使用它。所以拥有生成不安全代码的工具非常危险。我们需要让学生意识到,如果代码是通过这种工具生成的,那么很可能是不安全的。让我惊讶的是,当我们要求 ChatGPT 生成同样的任务即通过不同语言编写同一种程序类型时,有时候对于一种语言而言是安全的但对于其它语言则是易受攻击的。由于这种语言模型类型有点像黑盒,因此我无法对此进行很好的解释或存在很好的理论支撑。”

论文可见:https://arxiv.org/pdf/2304.09655.pdf

2880c405e3948a4a6e82c50dfe4b7ea5.png

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

研究员成功诱骗 ChatGPT 构建无法被检测到的恶意软件

Redis客户端开源库漏洞导致ChatGPT泄漏支付卡信息等

ChatGPT 出现bug,会话历史标题遭暴露

研究员利用ChatGPT制造出多态恶意软件Blackmamba

3·15特辑 | 少侠,可曾听说ChatGPT也有“食品安全问题”?

原文链接

https://www.theregister.com/2023/04/21/chatgpt_insecure_code/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

f41351fb4aca2d730b80f3d8f452182a.jpeg

d041a73bb5d937cef6ca30372c7fa547.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   b62365798da8a0b9670673ddc3202df3.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
03 做毕业设计,前端部分你需要掌握的6个核心技能
xingyu_qie的专栏
03-01 5915
其实前端新手如果想要自己实现一套毕业设计并非简单的事,因为之前很多人一直还停留在知识点的阶段,而且管理系统和C端网站都需要开发,但现在需要点连成线了。所以在启动项目开发之前呢,针对前端部分,我列举一些非常毕业的前端核心技能,希望你已掌握。
ChatGPT】 Prompt 工程:设计、实践与思考
AI天才研究院
04-15 1万+
首先,我们不妨自己先想一想,会怎么写 Prompt。随便一想就一大堆:简单日常对话。比如询问对方姓名,是否开心等等。常识问答。比如问今天是周几,冬天如何取暖等等。知识问答。比如热力学第二定律是什么,设计模式中的策略模式适用于哪些场景等等。文本改写。比如给出一段话,让它改简单一些,或换个风格,同时给出要的风格是什么样子的。所有的 NLP 任务,包括:文本分类、实体标注、信息抽取、翻译、生成、摘要、阅读理解、推理、问答、纠错、关键词提取、相似度计算等等。
ChatGPT 生成代码比你写的更不安全
程序猿DD
05-04 510
出品| OSC开源社区(ID:oschina2013)ChatGPT 是 OpenAI 发布的大语言模型聊天机器人,可以根据用户的输入生成文本,其中包括代码。不过加拿大魁北克大学的研究人员发现,ChatGPT 生成代码往往存在严重的安全问题,而且它不会主动告知用户存在这些问题。只有在用户提问生成代码是否安全时才会进行回答。研究人员在 arXiv 上发表了论文《How Secure is Co...
ChatGPT Prompt工程浅谈
热门推荐
龙雪的博客
02-07 3万+
首先,我们不妨自己先想一想,会怎么写 Prompt。随便一想就一大堆: • 简单日常对话。比如询问对方姓名,是否开心等等。 • 常识问答。比如问今天是周几,冬天如何取暖等等。 • 知识问答。比如热力学第二定律是什么,设计模式中的策略模式适用于哪些场景等等。 • 文本改写。比如给出一段话,让它改简单一些,或换个风格,同时给出要的风格是什么样子的。 • 所有的 NLP 任务,包括:文本分类、实体标注、信息抽取、翻译、生成、摘要、阅读理解、推理、问答、纠错、关键词提取、相似度计算等等。
ChatGPT 比一比谁更懂Kubernetes?
rocLv的专栏
12-07 3242
有时,很难得到关于云原生世界中棘手话题的明确答案。哪个是最好的服务网格?平台工程只是devops的另一个标签吗?多云是一种风险吗? 如果你无法从一个人那里得到直截了当的答案——为什么不问一台机器呢? 因此,我们花了一些时间与ChatGPT合作,并问了它一些问题GPT对它是否在Kubernetes上运行感到羞,但我们认为应用程序对基础设施的看法有点合适,你不觉得吗? (顺便一句,这个博客中的图像都是由Dall-E生成的) 一个男人在笔记本电脑上采访人工智能数字艺术漫画书风格的逼真照片,作者:Dall-E
使用线程池你应该知道的知识点
weixin_33508411的博客
09-13 178
多线程编程是每一个开发必知必会的技能,在实际项目中,为了避免频繁创建和销毁线程,我们通常使用池化的思想,用线程池进行多线程开发。 线程池在开发中使用频率非常高,也包含不少知识点,是一个高频面试题,本篇总结线程池的使用经验和需要注意的问题,更好的应对日常开发和面试。 如有更多知识点,欢迎补充~ 异常处理 正如我们在异常处理机制所讲,如果你没有对提交给线程池的任务进行异常捕获,那么异常信息将会丢失,...
ChatGPT Prompt工程:设计、实践与思考
Kaiyuan_sjtu的博客
02-07 1万+
作者|太子长琴整理|NewBeeNLP大家好,这里是 NEewBeeNLP。ChatGPT 火爆出圈了,有些人惊叹于它的能力,当然也有部分人觉得也就那样。这就不得不提 Prompt 了,据【相关文献1】,ChatGPT 效果好不好完全取决于你的 Prompt,“看来 Propmt 也成一个技术活儿了”。当我这么想的时候,没想到国外居然已经有了成熟的售卖 Prompt 的网站[1],这玩...
React,Vue,Css3 ...等热门面试题
qq_70010470的博客
05-24 707
## 面试 * Fiber React Fiber是react执行渲染时的一种新的调度策略 JavaScript是单线程的 一旦组件开始更新 主线程就一直被React控制 这个时候如果再次执行交互操作 就会卡顿 页面首次渲染会创建一颗结构 一模一样的的Fiber节点树 Fiber在update的时候 会从原来的Fiber clone出一个新的Fiber 俩个Fiber diff出的变化 在更新结束后会取代之前的 Fiber节点树 渲染过程采用切片的方式
来自38岁大厂程序员的忠告!
zz_jesse的博客
06-06 194
今天给大家分享一篇来自国外拥有20年程序员职业生涯的大佬的个人职业总结:记得稍微花几分钟认真阅读噢:距离我正式开始编程的工作已经过去二十年了。在这些年里,我有以下收获:获得了科学领域“卓越能力”的绿卡申请批准成为了Google的开发者专家。成为了IEEE的高级会员。担任过一家拥有100名员工的公司的首席运营官。我编写的一段代码的下载次数达1.35亿次。两次面向2000人的观众发表演讲。根据国家电视...
ChatGPT:编程的 “蜜糖” 还是 “砒霜”?告别依赖,拥抱自主编程的秘籍在此!
最新发布
专研技术结交志同道合的朋友
11-16 486
在当今编程界,ChatGPT 就像一颗耀眼却又颇具争议的新星,它对编程有着不可忽视的影响。但这影响就像一把双刃剑,使用不当,就可能让我们在编程之路上“受伤”。
node对接ChatGpt的流式输出的配置
m0_74079648的博客
11-15 1069
将数据用流的方式返回给,这种技术需求在传统的管理项目中不多见,但是在媒体或者有实时消息等功能上就会用到,这个知识点对于前端还是很重要的。即时你不写,但是服务端如果给你这样的接口,你也得知道怎么去使用联调。
用AI来写SQL:让ChatGPT成为你的数据库助手
王傲旗的大数据之路
11-13 559
AI写SQL不是要完全替代人工,而是要成为我们的得力助手。节省编写SQL的时间减少出错概率学习SQL最佳实践最重要的是,这让我们能够将更多精力放在业务逻辑和数据分析上,而不是陷入SQL语法的细节中。🎁福利:后台回复"SQL模板",获取本文提到的详细SQL提示词模板。#技术进阶 #效率工具 #数据库开发。
51c大模型~合集42
whaosoft~aiotの开发板商城
11-14 937
我自己的原文哦~ https://blog.51cto.com/whaosoft/11859244「草莓」即将上线,OpenAI新旗舰大模型曝光,代号「猎户座」本月初,OpenAI 创始人、CEO 山姆・奥特曼突然在 X 上发了一张照片,勾起了大家强烈的好奇心。「四个红草莓,其中还有一个未成熟的青色草莓,这不妥妥地是在下一代 AI 大模型 GPT-5 要来了吗?」奥特曼在回应网友时也在暗示,惊喜马上就来。据科技媒体 The Information 报道,传中的「草莓」真的要来了!两位参与该项目的人士表
爆火的AI智能助手ChatGPT中自注意力机制的演化与优化
机器学习,深度学习
11-15 330
在自然语言处理领域,大语言模型(如GPT系列)已经取得了显著的成功,而自注意力机制(Self-Attention)则是这些模型的核心组成部分。自注意力机制允许模型在处理序列数据时,动态地调整对不同部分的关注程度,使得模型能够捕捉到长距离依赖关系和复杂的语义信息。然而,随着模型规模的增大,如何优化和加速自注意力计算成为了研究和应用中的重要问题。本文将详细介绍大语言模型(如ChatGPT)中常见的Self-Attention变种,包括。,并探讨它们如何在训练和推理阶段应用。
OpenAI官方发布:利用ChatGPT提升写作的12条指南
weixin_38554053的博客
11-14 1190
ChatGPT不仅是一个文本生成工具,它更是一个陪伴学术成长的助手。在学习和写作的各个环节中,从灵感激发、逻辑梳理到内容打磨,ChatGPT都能提供实质性帮助。关键在于如何善用这一工具,使之成为学习中的得力助手,而非替代独立思考的捷径。希望这十二个策略能够为每一位希望在学业上取得进步的学者提供支持和启发。
ChatGPT】让ChatGPT生成批判性思维问题的回答
weixin_39372311的博客
11-15 780
通过Prompt引导ChatGPT在分析之后总结整体情况,并提出批判性的建议,以增强其回答的深度和实用性。示例Prompt“在一个公司引入新的绩效评估系统后,发现员工普遍反映压力增加。请分析此现象的原因,并提出改进建议。示例回答“绩效评估系统引入后员工压力增加可能源于其考核标准的严苛或透明度不足,使员工感到不安。此外,如果该系统未考虑个体差异,可能导致绩效评估结果不公平,进而增加员工压力。建议公司优化绩效评估系统的设计,增加考核标准的清晰度,同时可以考虑引入反馈机制,让员工对评估过程表达看法。
ChatGPT登录失败的潜在原因分析
IPdodo的博客
11-12 1001
静态住宅IP的来源通常是由ISP分配的家庭宽带用户,如果该IP地址曾经被其他用户滥用,或者属于高风险区域,ChatGPT的系统可能会增加对该IP地址的验证措施,甚至直接封禁该IP,导致登录失败。如果用户使用的静态住宅IP在短时间内多次登录,ChatGPT的系统可能会将其识别为滥用行为,特别是当大量的登录请求来自同一IP时,系统会采取保护措施,例如限制该IP的访问权限。如果您使用的是静态住宅IP,可以联系您的互联网服务提供商(ISP),请求更换IP地址,或者咨询是否可以切换到动态IP。
ChatGPT更酷的AI工具
2401_83920474的博客
11-13 2763
相较于寻找比ChatGPT更酷的AI工具,这听起来似乎是个挑战,因为ChatGPT已经以它强大的综合性能在AI界大名鼎鼎。然而,每个工具都有其独特的优势,特别是在特定的应用场景下,其他AI工具可能会展现出与ChatGPT不同的魅力。接下来,我将向大家介绍三款我认为字在各自领域非常酷的AI工具。
搭建高效稳定的ChatGPT网络环境:从网络专线到IP地址管理的全流程解析
IPdodo的博客
11-13 671
搭建一个高效稳定的ChatGPT网络环境,涉及多个方面的考虑,包括网络专线选择、IP地址的管理与安全配置、以及后续的网络优化与监控。无论是处理高并发请求,还是提供稳定的API服务,这些基础设施的优化和管理将为ChatGPT的流畅运行提供坚实保障,最终为用户带来更好的体验和服务。无论是企业的客户服务系统,还是个人用户的智能助手,ChatGPT的稳定运行都离不开一个高效的网络环境。专线连接通常提供更大的带宽、更低的延迟以及更高的可靠性,适合高并发、低延迟的应用场景,尤其是像ChatGPT这样的实时响应服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值