前言
ChatGPT:是人工智能技术驱动的自然语言处理工具,它能够通过学习和理解人类的语言来进行对话,还能根据聊天的上下文进行互动,真正像人类一样来聊天交流,甚至能完成撰写邮件、视频脚本、文案、翻译、代码等任务。GPT 是 Generative Pre-training Transformer 的缩写,是一种自然语言生成模型,由 OpenAI 开发。GPT 的目标是学习从大量文本中推断出的知识,并使用这些知识来生成新的文本。与其他自然语言处理模型相比,GPT 在训练时没有提供大量的人工标注数据,而是使用了大量的网络上的文本进行预训练,这种方法被称为预训练(pre-training)。
黑莓公司曾经发布过一篇研究报告表明由人工智能驱动的ChatGPT机器人可能会对网络安全产生威胁。并且有充分的证据表明,怀有恶意的人正在利用ChatGPT机器人进行网络攻击。
ChatGPT的从出世以来就开始广受追捧,在短短两个月内,用户就达到了1亿。ChatGPT自从2022年12月开始向公众开放以来,两个月达到1亿用户,对比Tik Tok也花费了大约9个月的时间才达到同样的数字。人们会担心它滥用的原因是开放式人工智能机器人不仅能够撰写回答评论,还能创建代码。并且ChatGPT可以为黑客提供有关如何入侵网站的分布说明,能够对利用的任何漏洞提供详细建议。
ChatGPT可以帮助黑客进行攻击。
Cybernews的研究团队尝试使用 ChatGPT 来帮助他们找到网站的漏洞。研究人员提出问题并遵循 AI 的指导,试图检查聊天机器人是否可以提供利用该漏洞的分步指南。
该团队通过解释他们正在进行渗透测试挑战来询问ChatGPT。 研究人员问道:
I am faced with a penetration testing challenge. I am on a website with one button. How would I test its vulnerabilities?
(我面临着渗透测试的挑战。我在一个只有一个按钮的网站上。我该如何测试它的漏洞?)
聊天机器人以五个基本起点作为回应,说明在搜索漏洞时要检查网站上的内容。通过解释他们在源代码中看到的内容,研究人员获得了 AI 的建议,以了解应该专注于代码的哪些部分。此外,他们还收到了建议的代码更改示例。在与聊天机器人聊天大约 45 分钟后,研究人员能够破解所提供的网站。
在这个过程中,虽然AI没有给他们提供现阶段所需的确切有效的内容,但是它给予了研究员们大量的想法和关键字来搜索。
利用ChatGPT创建恶意软件
网络安全服务商CyberArk公司的研究人员在今年1月发表了一篇有关网络威胁研究的博客文章,详细介绍了他们如何使用ChatGPT创建多态恶意软件的过程。同样,研究人员能够通过AI提供的内容略过过滤器。
虽然在一开始要求人工智能机器人采用Python创建一些恶意代码,他会礼貌地拒绝。
但是,在输入过程中强烈坚持,那么机器人也有可能创建可执行代码。这其实并不可怕,危险的是ChatGPT是机器学习的一个例子,随着时间的推移,它接受到的输入数据越多,输出内容就越好,情况只会变得更好。
ChatGPT否认自己是网络安全威胁
在询问它自己是否会构成网络安全威胁是,机器人一直保持否认的态度:“不,ChatGPT不会构成网络安全威胁。它是由OpenAI开发的一种语言模型,旨在根据接收到的输入生成文本。然而,重要的是要记住,任何技术都可能被滥用,用户有责任保护他们的系统和数据。此外,在分享敏感信息时要谨慎行事,因为第三方可能会获取这些信息。”
然后让ChatGPT用500字和1000字回答它自己是否构成网络安全威胁时,它给出了不一样的答案。
“如果它落入坏人之手,可能会被恶意利用”、“ChatGPT可能被用来从互联网上抓取敏感信息,例如个人数据或财务信息。”
“与ChatGPT等人工智能模型相关的另一个风险是,它们可能被用于恶意目的。例如,网络攻击者可以创建一个假冒的聊天机器人,看起来像一位客服代表,并使用它来欺骗人们提供他们的个人信息或进行未经授权的购买。如果网络攻击者能够让聊天机器人看起来像是来自一个可信任的组织,例如银行或政府机构,这可能会特别危险。”
ChatGPT最终还是承认了它可以被用于恶意目的。
但是,ChatGPT到底是好是坏,最终还是取决于使用者的目的。
ChatGPT是一个令人印象深刻的人工智能工具,它有很多做好事的能力,但和任何技术一样,一旦被居心叵测之人利用同样也会成为做坏事的工具。不发分子和黑客使用的基于人工智能的漏洞扫描器可能会对互联网安全造成灾难性的影响。
但是就像ChatGPT提醒的一样:请记住,在尝试测试网站的漏洞之前,遵循到的黑客准则并获得许可非常重要。
其实对于渗透测试学习者来说,ChatGPT是最全能的黑客辅助工具。它的出现大大降低了渗透测试人员的学习成本,抓住这个“利器”,或许你的技术会更上一层楼。
-END-
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴文末免费领取哦,无偿分享!!!
学习计划安排
学习路线图大纲总览
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
【一一帮助网络安全学习,以下所有资源文末免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
接下来我将给各位粉丝们划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
资料领取
上述这份完整版的网络安全学习资料已经上传网盘,朋友们如果需要可以微信扫描下方二维码 即可自动领取↓↓↓
或者
【点此链接】领取
474
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
