AI辅助代码审计应用与安全风险
2023-8-7 14:17:22 Author: mp.weixin.qq.com(查看原文) 阅读量:6 收藏

01 概述

Claude是一个支持中文、暂时免费、先到先得,不用排队、人人都能上网使用的类ChatGPT产品。之前Claude 100k还在测试阶段,需要申请api使用权限,非常稀有。最近官网升级到了2.0,向大众开放了100K的功能。网站的地址如下:https://claude.ai

Claude 100k的强大之处,直接摆脱了Chatgpt 4k到32k的限制,大概一次可以输入75000个单词或者50000个汉字。

目前上传的文档格式支持很多。几乎所有的文本文档都支持。包括:pdf,doc,docx,rtf,epub,odt,odp,pptx,txt,py,ipynb,js,jsx,html,css,php,c,cpp,cxx,h,hpp,rs,r,rmd,swift,go,rb,kt,kts,ts,tsx,m,scala,rs,dart,lua,pl,pm,t,sh,bash,zsh,csv,log,ini,yaml,yml,toml,lua,sql,bat,md,coffee等,未来还有增加的趋势。网站界面如下:

随着新技术的快速发展,Chatgpt能处理32k的文本、Claude能处理100k的文本,而且能处理的文本种类也越来越多,针对以往判定为安全的文件,现在能够在AI辅助下进行高效、精准的代码审计,会发现许多以前的工具无法发现的问题。关键是这个AI工具人人都可以低成本地使用,几乎没有任何门槛。所以,安全研究人员和黑客在赛跑,必然带来新的安全问题。需要提前发现问题和在行业内预警。

以后,随着技术的进步。AI越强、AI能处理的文件越大,能处理的文件类型越多,就能辅助人类发现更多的安全问题,但也带来了更大的安全风险。

如果逆向工具和AI工具进行一些创新的组合,可以发现以前无法发现的一些漏洞。各种漏洞最近也会多起来了。

02 利用AI辅助提高审查代码和测试的效率

利用AI辅助可以概括一些审查代码和进行测试的一般性建议,包括AI在提示词作用下和人类互动实现:

  • 阅读和理解代码逻辑,分析信息流和处理过程。

  • 关注敏感功能如登录、支付、数据访问等,是否有安全漏洞或逻辑错误。

  • 尝试用不同的参数组合去测试 boundary cases。

  • 确保输入数据的验证和过滤是足够且正确的。

  • 查看是否有任何硬编码的secret如密码或密钥。

  • 关注第三方库和组件的安全性和可靠性。

  • 适当做一些fuzz测试去尝试引发crash或异常。

  • 编写单元测试提高代码覆盖率和发现corner case。

  • 遵循安全编码规范,如OWASP top 10。

  • 有安全意识地编写代码,思考如何被应用、测试和审计。

总之,需要持续审查代码质量和安全性,遵循最佳实践开发,以保护用户信息和系统安全。测试和审查需要谨慎负责地进行。

03 JS代码审计提示词

目前,绝大部分网站使用js技术,部分网站的js代码量大,组织专家进行代码审计比较困难,也带来了一系列风险。

如果网站存在安全漏洞,则攻击者可能借助AI快速构造出测试用例,而不需要过多的技术储备,从而低成本、低门槛、快速发现网站存在的安全问题。

一般用的提示词如下: 

帮我理解一下下面的js片段。根据下面的JS逻辑,帮我生成对应的网站API的 curl 测试代码。请生成针对下面网址的API接口的测试代码,要求尽量覆盖全面。https://api.test.com

还有一个提示词。

关于 https://api.test.com/api 的调用,可以 用curl 命令列出几个API调用示例吗?

通过使用上述提示词已经发现了几个重大安全漏洞。

因为内容敏感,仅公开审查和测试的思路。点倒为止。恕不能公开测试过程中发现的其它敏感信息。

06 总结

ChatGPT和Claude这类大模型的发展,已经能一次性处理超过100K的信息,必然带来新的安全问题。AI系统在网络安全领域带来的创新和影响如下:

  1. 提高安全研究和审计效率:大模型AI可快速理解、总结复杂的代码和文档,辅助安全研究人员发现系统漏洞。它也可以快速生成漏洞检测和利用代码,提高工作效率。

  2. 降低安全审计门槛:依靠大模型AI,不需要高深的安全知识也能进行安全审计和测试,降低了从业门槛。这也意味着攻击成本下降,需要提高防御力度。

  3. 强化系统设计:大模型AI可以辅助设计更安全、可靠的系统,也可以通过模拟攻击增强系统抗攻击能力。

  4. 生成针对性漏洞利用代码:大模型AI可以根据系统情况快速生成针对性漏洞利用代码,对系统进行安全性评估。

  5. 强化用户安全意识:AI助手可以辅助提高用户对社交工程学等攻击的识别力,培养更好的网络安全习惯。

  6. 带来更大安全风险:AI也可能被利用生成恶意代码、帮助社交工程攻击,进一步加剧网络安全形势,需要加强AI伦理和安全。

总体来说,合理使用大模型AI将推动网络安全技术发展,但也需要注意潜在风险,实现安全与发展的平衡。

注:应用Claude可能存在数据泄露风险,使用者在应用时应注意相关风险,谨慎处理敏感数据。

绿盟科技格物实验室专注于工业互联网、物联网、车联网三大业务场景的安全研究。致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMTI0NjA3OA==&mid=2247492021&idx=1&sn=3ec65e63f1efbbd1324a858899c211a5&chksm=c18421a4f6f3a8b2525c5fac0bc0979ce55cbd539148c8c743e663a588332fa7be2ebc0def07&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh