01 概述
Claude是一个支持中文、暂时免费、先到先得,不用排队、人人都能上网使用的类ChatGPT产品。之前Claude 100k还在测试阶段,需要申请api使用权限,非常稀有。最近官网升级到了2.0,向大众开放了100K的功能。网站的地址如下:https://claude.ai
Claude 100k的强大之处,直接摆脱了Chatgpt 4k到32k的限制,大概一次可以输入75000个单词或者50000个汉字。
目前上传的文档格式支持很多。几乎所有的文本文档都支持。包括:pdf,doc,docx,rtf,epub,odt,odp,pptx,txt,py,ipynb,js,jsx,html,css,php,c,cpp,cxx,h,hpp,rs,r,rmd,swift,go,rb,kt,kts,ts,tsx,m,scala,rs,dart,lua,pl,pm,t,sh,bash,zsh,csv,log,ini,yaml,yml,toml,lua,sql,bat,md,coffee等,未来还有增加的趋势。网站界面如下:
随着新技术的快速发展,Chatgpt能处理32k的文本、Claude能处理100k的文本,而且能处理的文本种类也越来越多,针对以往判定为安全的文件,现在能够在AI辅助下进行高效、精准的代码审计,会发现许多以前的工具无法发现的问题。关键是这个AI工具人人都可以低成本地使用,几乎没有任何门槛。所以,安全研究人员和黑客在赛跑,必然带来新的安全问题。需要提前发现问题和在行业内预警。
以后,随着技术的进步。AI越强、AI能处理的文件越大,能处理的文件类型越多,就能辅助人类发现更多的安全问题,但也带来了更大的安全风险。
如果逆向工具和AI工具进行一些创新的组合,可以发现以前无法发现的一些漏洞。各种漏洞最近也会多起来了。
02 利用AI辅助提高审查代码和测试的效率
利用AI辅助可以概括一些审查代码和进行测试的一般性建议,包括AI在提示词作用下和人类互动实现:
-
阅读和理解代码逻辑,分析信息流和处理过程。
-
关注敏感功能如登录、支付、数据访问等,是否有安全漏洞或逻辑错误。
-
尝试用不同的参数组合去测试 boundary cases。
-
确保输入数据的验证和过滤是足够且正确的。
-
查看是否有任何硬编码的secret如密码或密钥。
-
关注第三方库和组件的安全性和可靠性。
-
适当做一些fuzz测试去尝试引发crash或异常。
-
编写单元测试提高代码覆盖率和发现corner case。
-
遵循安全编码规范,如OWASP top 10。
-
有安全意识地编写代码,思考如何被应用、测试和审计。
总之,需要持续审查代码质量和安全性,遵循最佳实践开发,以保护用户信息和系统安全。测试和审查需要谨慎负责地进行。
03 JS代码审计提示词
目前,绝大部分网站使用js技术,部分网站的js代码量大,组织专家进行代码审计比较困难,也带来了一系列风险。
如果网站存在安全漏洞,则攻击者可能借助AI快速构造出测试用例,而不需要过多的技术储备,从而低成本、低门槛、快速发现网站存在的安全问题。
一般用的提示词如下:
帮我理解一下下面的js片段。根据下面的JS逻辑,帮我生成对应的网站API的 curl 测试代码。请生成针对下面网址的API接口的测试代码,要求尽量覆盖全面。https://api.test.com
还有一个提示词。
关于 https://api.test.com/api 的调用,可以 用curl 命令列出几个API调用示例吗?通过使用上述提示词已经发现了几个重大安全漏洞。
因为内容敏感,仅公开审查和测试的思路。点倒为止。恕不能公开测试过程中发现的其它敏感信息。
06 总结
ChatGPT和Claude这类大模型的发展,已经能一次性处理超过100K的信息,必然带来新的安全问题。AI系统在网络安全领域带来的创新和影响如下:
-
提高安全研究和审计效率:大模型AI可快速理解、总结复杂的代码和文档,辅助安全研究人员发现系统漏洞。它也可以快速生成漏洞检测和利用代码,提高工作效率。
-
降低安全审计门槛:依靠大模型AI,不需要高深的安全知识也能进行安全审计和测试,降低了从业门槛。这也意味着攻击成本下降,需要提高防御力度。
-
强化系统设计:大模型AI可以辅助设计更安全、可靠的系统,也可以通过模拟攻击增强系统抗攻击能力。
-
生成针对性漏洞利用代码:大模型AI可以根据系统情况快速生成针对性漏洞利用代码,对系统进行安全性评估。
-
强化用户安全意识:AI助手可以辅助提高用户对社交工程学等攻击的识别力,培养更好的网络安全习惯。
-
带来更大安全风险:AI也可能被利用生成恶意代码、帮助社交工程攻击,进一步加剧网络安全形势,需要加强AI伦理和安全。
总体来说,合理使用大模型AI将推动网络安全技术发展,但也需要注意潜在风险,实现安全与发展的平衡。
注:应用Claude可能存在数据泄露风险,使用者在应用时应注意相关风险,谨慎处理敏感数据。
绿盟科技格物实验室专注于工业互联网、物联网、车联网三大业务场景的安全研究。致力于以场景为导向,智能设备为中心的漏洞挖掘、研究与安全分析。
M01N Team公众号
聚焦高级攻防对抗热点技术
绿盟科技蓝军技术研究战队
官方攻防交流群
网络安全一手资讯
攻防技术答疑解惑
扫码加好友即可拉群
原文始发于微信公众号(M01N Team):AI辅助代码审计应用与安全风险
