研究显示:ChatGPT可能会被诱骗生成恶意代码 | 站长之家

研究显示:ChatGPT可能会被诱骗生成恶意代码 | 站长之家 近日,英国谢菲尔德大学的研究人员发表的一项研究揭示了一项令人担忧的发现:人工智能(AI)工具,如ChatGPT,可以被操纵,用于生成恶意代码,从而可能用于发动网络攻击。 该研究是由谢菲尔德大学计算机科学系的学者进行的,首次证明了Text-to-SQL系统的潜在危险,这种AI系统可以让人们用普通语言提出问题,以搜索数据库,广泛应用于各行各业。 研究发现,这些AI工具存在安全漏洞,当研究人员提出特定问题时,它们会生成恶意代码。一旦执行,这些代码可能泄露机密数据库信息,中断数据库的正常服务,甚至摧毁数据库。研究团队成功攻击了六种商业AI工具,其中包括高知名度的BAIDU-UNIT,该工具在众多领域中得到广泛应用,如电子商务、银行业、新闻业、电信业、汽车业和民航业等。 这项研究也突出了人们如何利用AI学习编程语言以与数据库互动的潜在风险。越来越多的人将AI视为提高工作效率的工具,而不仅仅是对话机器人。例如,一名护士可能会向ChatGPT提出编写SQL命令的请求,以与存储临床记录的数据库互动。然而,研究发现,ChatGPT生成的SQL代码在许多情况下可能对数据库造成损害,而护士可能在不受警告的情况下导致严重的数据管理错误。 此外,研究还揭示了一种可能的后门攻击方法,即通过污染训练数据,在Text-to-SQL模型中植入“特洛伊木马”。这种后门攻击通常不会对模型的性能产生一般性影响,但可以随时触发,对使用它的任何人造成实际危害。 研究人员表示,用户应该意识到Text-to-SQL系统中存在的潜在风险,尤其是在使用大型语言模型时。这些模型非常强大,但其行为复杂,很难预测。谢菲尔德大学的研究人员正在努力更好地理解这些模型,并允许其充分发挥潜力。 该研究已经引起了业界的关注,一些公司已经采纳了研究团队的建议,修复了这些安全漏洞。然而,研究人员强调,需要建立一个新的社区来对抗未来可能出现的高级攻击策略,以确保网络安全策略能够跟上不断发展的威胁。

相关推荐

封面图片

AI 开源开发平台 Hugging Face 存在托管的恶意代码

AI 开源开发平台 Hugging Face 存在托管的恶意代码 安全公司 JFrog 的研究人员周四在一份报告中表示,上传到人工智能开发平台 Hugging Face 的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示,他们总共发现大约 100 个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。 大多数被标记的机器学习模型(所有这些模型都没有被 Hugging Face 检测到)似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示,其中大约10个是“真正恶意的”,因为它们在加载时执行的操作实际上损害了用户的安全,例如创建一个可以从互联网远程访问并完全控制用户设备的反向 Shell 。 Hugging Face 已删除了所有 JFrog 标记的模型。这是继 PyPI, NPM 和 GitHub 之后又一个被发现受到水坑攻击(Watering Hole Attack)的开发平台,虽然并不让人太意外。
封面图片

ChatGPT 生成的大部分代码是不安全的

ChatGPT 生成的大部分代码是不安全的 加拿大魁北克大学的研究人员在 arXiv 上发表论文,分析了 ChatGPT 所生成代码的安全性。研究人员表示结果令他们倍感担忧。ChatGPT 生成的部分代码甚至达不到最低安全标志,而当你问它时它还知道代码是不安全的。研究人员让 ChatGPT 使用 C、C++、Python 和 Java 四种语言生成了 21 个程序和脚本。研究人员称,ChatGPT 似乎知道它生成的代码是不安全的,但就是不说,除非你问它。ChatGPT 拒绝生成攻击性代码,但却会生成有漏洞的代码,这在道德上是不一致的。来源 , 来自:雷锋 频道:@kejiqu 群组:@kejiquchat 投稿:@kejiqubot
封面图片

OpenAI 用新模型 CriticGPT 识别 GPT-4 的代码错误

OpenAI 用新模型 CriticGPT 识别 GPT-4 的代码错误 OpenAI 研究人员透露了一种新模型 CriticGPT,设计识别 GPT-4 所生成的代码中的错误。CriticGPT 使用了人类反馈中强化学习(Reinforcement Learning from Human Feedback 或 RLHF) 去增强 AI 系统,它作为 AI 助手帮助人类审查 ChatGPT 生成的代码。它分析 AI 生成的代码然后指出可能的错误,帮助人类更容易识别可能会忽视的 bug。研究人员通过故意在代码中加入 bug 去训练 CriticGPT 识别和标记代码中的各种 bug。 via Solidot
封面图片

一个超快速、实时、专业、开发者友好、零代码的数据库,使用类似于电子表格的界面来创建复杂的企业级数据库应用,通过无代码开发,解锁高

一个超快速、实时、专业、开发者友好、零代码的数据库,使用类似于电子表格的界面来创建复杂的企业级数据库应用,通过无代码开发,解锁高效的应用程序开发,摆脱数据安全和可扩展性的障碍。 Teable具有电子表格的界面,支持单元格编辑、公式支持、数据排序和筛选、聚合函数、数据格式化等功能,同时还支持多种视图模式和数据可视化工具。 它还具有超快的响应速度和数据容量,完整的SQL支持,隐私优先和实时协作等特点。此外,Teable还支持扩展、自动化和AI集成。 | #数据库
封面图片

苹果前工程师:Siri 的代码过时且复杂,难以赶超 ChatGPT

苹果前工程师:Siri 的代码过时且复杂,难以赶超 ChatGPT 苹果前工程师约翰・伯基 (John Burkey) 曾于 2014 年受命改进 Siri,并于 2016 年从苹果离职。他说 Siri 笨拙的设计使得其难以添加新功能。 伯基表示,Siri 之所以能够回答诸如“今天天气怎么样”或者“你能播放这首歌”等简单问题,都是从存储餐馆位置或音乐家名字等大量单词的数据库中提取信息。他表示,这样一来 Siri 能响应的请求数量有限,工程师必须向数据库不断添加新的单词来扩展其功能。 伯基坦言,苹果 Siri 的数据库就是“一个大雪球”,添加新单词可能需要长达六周的时间,因为工程师们需要对数据库进行全面修复,如果是整合诸如搜索等类似 Chatgpt 类似的高级功能甚至可能需要一年左右的时间。伯基说,即使是更新 Siri 的基本功能也可能需要数周的时间,因为苹果 Siri 的代码过时且复杂。 当下,特别是在 OpenAI 将大型语言模型升级到 GPT-4 之后,广受欢迎的人工智能聊天机器人 ChatGPT 正用让人们热衷的新功能威胁着语音助手技术。苹果 Siri 团队的员工一直在测试人工智能语言模型,不过目前还没有发布任何产品。 苹果公司没有立即回应置评请求。 来自:雷锋 频道:@kejiqu 群组:@kejiquchat 投稿:@kejiqubot
封面图片

卡巴斯基确认拼多多APP的中国版本中存在恶意代码

卡巴斯基确认拼多多APP的中国版本中存在恶意代码 总部位于莫斯科的卡巴斯基实验室的安全研究人员在PDD的中国购物应用拼多多版本中发现并概述了潜在的恶意软件,此前谷歌将其从其安卓应用商店中下架。 在对恶意代码的首批公开报告之一中,卡巴斯基阐述了该应用程序如何提升自身权限以破坏用户隐私和数据安全。 它测试了通过中国本地应用商店分发的应用版本,华为技术有限公司、腾讯控股有限公司和小米公司经营着一些最大的应用市场。 卡巴斯基与彭博社分享的调查结果是独立安全团队对上周触发谷歌行动和恶意软件警告的最清晰解释之一。 这家网络安全公司在揭露历史上一些最大的网络攻击方面发挥了作用,该公司表示,它发现了早期版本的拼多多利用系统软件漏洞安装后门并获得对用户数据和通知的未授权访问的证据。 这些结论在很大程度上与过去几周在网上发布他们的发现的研究人员的结论一致,尽管彭博新闻社尚未证实早期报道的真实性。 这起安全事件可能会为美国本已激烈的关于中国应用程序数据不安全的言论火上浇油。 虽然拼多多主要在中国使用,但 PDD 的另一款应用 Temu销售从衣服到厨房用品的所有商品在过去几个月的大部分时间里一直是苹果公司美国应用商店中下载次数最多的应用。 它尚未像 ByteDance Ltd. 的 TikTok 那样成为立法者审查的焦点。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人