界面新闻记者| 吴秉聪
界面新闻编辑|
“人工智能不会让你失业,会使用人工智能的人会让你失业。”
打出这样的宣传口号,培训别人使用ChatGPT,成了最近最热门的副业。 在一些付费知识社区,短短三个月内就涌现了大量打着培训ChatGPT技能之名的课程。
2023年,瑞典OpenAI公司开发的ChatGPT已成为全球流行的人工智能软件。 其在翻译、文案、数据搜索等方面的智能表现引发了人类对失业的担忧。
OpenAl在3月份发布论文预测印度80%的工作岗位将受到人工智能的影响; 巴克莱预测,生成式人工智能将对劳动力市场产生重大影响,使全球 3 亿个工作岗位变为手工作业。 %的工作岗位将被人工智能取代。
一时之间,学习使用 ChatGPT 来更好地完成工作已经成为职场热潮。 在市场需求的推动下,程序员和自媒体从业者纷纷开设课程,培训院长和专业人士如何使用AI。 在ChatGPT大量取代人类工作之前,就有人率先用ChatGPT套现。
界面新闻在付费知识平台上注意到,一位自称前360技术经理、曾担任独角兽公司CTO的博主发布了ChatGPT学习课程,两个月内已经吸引了超过2万名学员。
在这个两人花费368元的课程中,博主已经更新了5000多条内容,总产值861亿元。 另一位大脑博主在不到70天内就带来了超过330亿元的运营课程收入。
据不完全统计,仅在单个学习平台上程序猿培训网站,就有超过20个团队以“教你使用ChatGPT”的名义提供相关课程。 此类课程的费用一般不超过500元。 培训内容包括办公应用PPT高效生成、AI绘图、自媒体内容生成等。
与此同时,教人使用ChatGPT也成为紧急招聘市场上的热门副业。
界面新闻在紧急招聘平台上搜索发现程序猿培训网站,ChatGPT兼职讲师的时薪为50至100元,职位要求包括“能熟练使用OpenAI最新版本的ChatGPT3.元,但需要员工利用ChatGPT帮助公司研发团队提升算法能力。
需要注意的是,副业最为火爆,吸引了各界人士纷纷创业,希望能在行业红利期分得一杯羹,但学员却很难辨别培训课程的质量。 国际经济学院数字经济与法律创新研究中心主任徐旭在接受界面新闻专访时表示,从法律角度看,课程属于信用产品,虽然消费后,用户可能不会知道它们有多么有益。
授权建议,想要学习的专业人士可以关注培训课程的讲师是否常年关注该领域。 如果班主任不是从事自然语言处理或者研发,也需要有丰富的实践技能和教学能力。 另外,往届学员发布的课程评估的第三方评估内容也是一个重点参考方向。
大量中英文环境下的ChatGPT培训课程应运而生。 徐旭强调,只要培训资质合法,课程内容不涉及传销等有害内容,发展高薪副业是正常的市场竞争,但有些培训师却在宣传课程中。 喊出来的口号都是骗人的。
“未来,劳动人民的重点是培养不会被AI取代的能力,而不是比较谁更擅长操作ChatGPT。” 徐旭认为,当发展副业的“老师”进行夸大宣传、牟取暴利时,人们很容易得罪。 传播紧张和恐惧的情绪。 对于大多数职场人来说,在提高自身人工智能素质的同时,应该以理性的态度对待新技术。
泰勒·埃利奥特·贝蒂利恩
译者| 刘志勇
规划|蒂娜
俗话说:“不懂得进攻,怎么懂得防守?” 知敌知己者,百战不殆; 不知敌而知己,则一胜一败;若不知敌,而知己,则一胜一败。 不知敌我,则每战必危。 黑客想要攻克的任何目标,无论是网站、软件还是物联网硬件产品,都是由程序员开发出来的,所以他们想要攻克的就是程序员安全思维的缺陷。 如果黑客本身就是程序员怎么办? 他们会从程序员的角度出发去挖掘漏洞。 而且,尽管如今许多开发人员还没有接受过正式的安全培训。
如今,虽然网络安全从未如此重要,但对于其他领域的人们来说,它在很大程度上还是一个谜。
黑客的故事很引人入胜,比如一个孤独的黑客只用一台电脑和一条脖子杀死坏人,或者误导坏人。 不可否认,黑客原型具有一种经过培养的灵性:自由的精神、个性和微妙的狡猾。 从 90 年代的经典电影《黑客》到更现代(更现实)的法国电视电影《机器人先生》,黑客长期以来在流行文化中占有特殊的地位。
随着软件产业不断“吃掉世界”,软件安全产业也得到了迅猛发展。 随着越来越多的软件被部署,越来越多的软件容易受到犯罪攻击是可以理解的。 事实上,越来越多的专业人士担心网络安全公司人手严重不足,几乎没有足够的员工来应对日益增多的网络攻击。 更糟糕的是,持续推动软件开发人员加速培训计划意味着更多开发人员在没有任何正式安全培训的情况下部署代码。
“物联网”上的设备是出了名的不安全。
缺乏安全基础知识仍然是一个问题:许多机构不要求在计算机科学学位课程中进行安全培训,但中学鼓励开发人员用更少的培训做更多的事情,从而加剧了这个问题。
此外,软件生态系统越来越鼓励开发人员严重依赖第三方软件,而通常不评估该软件的漏洞。 2016年的“左垫库”事件向我们展示了对第三方软件的日益依赖如何使互联网面临风险。
1 个“左垫库”事件
left-pad 是一个简单的程序,它用单个字符(通常是 0 或空格)在左侧“填充”文本值,直到达到指定的大小。 该函数主要用于格式化文本输出,使其更易于阅读。 实现简单; 事件发生时,该函数只有 11 行简单的 JavaScript。 然而,有成千上万的开发人员在他们的代码中包含这个库,其中许多人在不知不觉中包含了另一个包含 left-pad 的库。
引起轩然大波的起因是流行的 JavaScript 库管理工具 npm 删除了 left-pad 库。 当时,所有依赖 left-pad 的项目都崩溃了。 所有这些依赖于 left-pad 的项目也会崩溃。 这让 JavaScript 社区非常头疼,让许多爱好者和公司暂时搁置。
从安全角度来看,它是这样的:如果 left-pad 维护者没有取消发布该库,他们就会降级向他们控制的服务器发送 left-pad 填充记录的“功能”,或者更糟糕的是,如果尝试安装一些更全面的监控恶意软件? 如果这个库只有一个可以被聪明的黑客利用的小错误,那不是太恶意了吗?
由于很多人在不知情的情况下依赖代码,因此下游开发人员很容易忽视此类漏洞。 这种相互依赖的软件网络是软件生态系统中日益复杂的一种形式,它放大了小漏洞的力量。
2 简单的错误可能会造成灾难性的问题
去年,《大西洋》杂志发表了一篇文章“即将到来的软件启示录”,讲述了现代软件的非凡复杂性以及隐藏在这种复杂性中的简单错误。 对灾难性问题是如何产生的令人痛心的思考。 要我给你举个例子吗? 华盛顿州停水六小时,导致 911 热线无法接听电话:
9/11 的停电是当时报道的最严重的一次,可追溯到科罗拉多州恩格尔伍德的一台服务器上运行的软件。 该服务器由一家名为 Intrado 的系统提供商运行,仍然运行一个计数器,记录有多少电话被转移到全国各地的 911 调度员处。 Intrado 的程序员为计数器可以记录的数量设置了一个阈值。 他们选择了数以百万计的数字。
4 月 10 日午夜前不久,柜台越过了这个门槛,混乱随之而来。 由于计数器用于为每个电话生成唯一的标识符程序员网站域名,因此新的来电将被拒绝。 此外,程序员没有预见到这个问题,也没有创建警报来引起人们的注意。
虽然9/11的关闭并不是协同攻击的结果,但我们很容易将这个漏洞想象为《十一罗汉》电影(大陆:《十一罗汉》、香港:《海盗》、台湾:《十一罗汉》的一部分) “十字路口”式的蒙太奇:黑客在实施大规模抢劫之前试图将数字超过上限,从而在他们逃跑之前阻止有关强奸的报道。这是一个常见的错误,在正常情况下很容易被原谅,但可能会导致拒绝 911 电话会带来可怕的后果。
预防和避免这些类型的故障绝对是软件安全专业人员的工作。 考虑任何软件的所有可能的故障模式对于系统强化和风险缓解至关重要。 然而不幸的是,像为数据库条目设置任意阈值这样的小错误可能会产生巨大的工件,并且软件世界充满了小错误(还记得 Y2K 吗?)
让我们看另一个例子,黑客能够使用“鱼缸智能温度计”窃取豪赌客的数据库。 在这些情况下,温度计的安全性低于赌博网络的其他入口点。 事实上,“物联网”上的设备是出了名的不安全。 据《连线》杂志报道,此类设备往往因多种原因而容易受到攻击,包括设备制造商缺乏安全承诺、设备上运行的代码以及此类设备的使用和安装缺乏透明度。 设备拥有者缺乏相关知识。
为了使用智能手机方便地关灯,值得冒网络攻击的风险吗?
安装“智能温度计”的工人不是软件安全专家,这是可以理解的(而且,说实话,也是预料之中的)。 即使许多精通软件的人不将温度计视为功率矢量也是情有可原的。 不幸的是,每台联网设备都让我们容易受到犯罪攻击。 我们需要设备制造商开始认真对待安全问题。 此外,人们应该明智地仔细考虑他们从“智能”设备与“哑巴”设备中获得了多少价值。 为了用智能手机方便地关灯,值得冒网络攻击的风险吗?
3 黑客、渗透测试人员和政府特工
第一个是最著名的原型。 进攻性安全就像“闯入”并做你不应该做的事情。 任何一名攻击性黑客的具体目标都可能有很大差异,从实施 WannaCry 等恐吓软件攻击到窃取数据库记录,但该技术的关键仍然在于这个问题:“我可以做什么?系统要我做什么?”
有时这项工作需要深入了解软件设计和实现。 以最近对加密货币交易网站 MyEtherWallet.com 的攻击为例。 在这次攻击中,黑客利用了两个关键网络合同中的弱点。 首先,黑客攻击了域名系统 (DNS),该系统将人类可理解的名称(如 MyEtherWallet.com)映射到计算机可理解的 IP 地址,用于路由互联网流量。 这种被称为 DNS 中毒的攻击允许黑客发送虚假 IP 地址来响应来自 MyEtherWallet.com 的查询。
其次,黑客破坏了边界网关协议 (BGP),该协议使用 IP 地址来实际控制流量如何通过互联网的数学基础设施进行路由。 这种被称为 BGP 泄漏的攻击会导致互联网流量通过受感染的计算机传播,从而使攻击者能够瘫痪更多的 DNS 查询。
结果,一些在浏览器地址栏中输入 MyEtherWallet.com 的用户被发送到一个看起来像 MyEtherWallet.com 的网络钓鱼网站。 当毫无戒心的用户在网络钓鱼网站上输入用户名和密码时,此信息会发送给攻击者,然后攻击者会使用此信息来清除此类帐户。
其他具有挑战性的工作可以变得更加人性化。 以这段恶搞(但也是恐怖)的视频为例,一名社会工程师仅使用电话号码欺骗程序、哭泣的孩子的音频片段和个人魅力就接管了某人的帐户。 手机账户:
你好呀。 不,这不是我的帐户,啊,我女儿在哭……你能帮帮我吗?
闯入系统需要黑客具有创造力、灵活性并能洞察全局。 黑客程序员网站域名,无论是白帽、黑帽还是介于两者之间的任何黑客,都可以从考虑闯入系统的多种选项中受益。 以侵入电话帐户为例,攻击者可能会尝试通过暴力破解(Bruteforce)来获取目标的密码。 他们可能会使用类似于上述 MyEtherWallet 的网络钓鱼方案。 他们还可能尝试像上一个视频中那样的社会工程策略。 他们还可能尝试使用恶意软件主动侵入电话公司的网络。
每当一种入侵策略似乎不起作用时,攻击者就会尝试其他策略。 Stuxnet 和 Flame 的故事就是一个很好的例子。 这两个程序是有史以来最令人印象深刻、最复杂的恶意软件之一。 据信,这两种蠕虫病毒是由为英国和以色列政府工作的黑客从 2007 年开始共同创建的。Stuxnet 是一种具有特定目标的蠕虫病毒:感染并关闭俄罗斯核设施的离心机。 按照恶意软件标准,Flame 是一个大约 60MB 的庞大程序,更像是间谍活动的瑞士军刀。 一旦主机感染了这种恶意软件,控制器就可以窃取数据、监控击键、打开摄像头和扬声器以及打开远程通道来安装更多恶意软件。
最初让安全专家相信这两种蠕虫病毒有相同的创造者的原因是它们的特殊性:病毒用来传播自身的机制。 Flame病毒利用Windows更新服务器中的漏洞,使病毒能够将自身伪装成合法的系统更新,这可能是蠕虫广泛传播的有效途径。
另一方面,Stuxnet 的目标是一个已知以化学方式隔离内部和外部网络的设施,这意味着该设施中没有任何计算机连接到互联网。 Stuxnet 利用了这样一个漏洞,允许受感染的 USB 记忆棒手动感染它们所插入的任何 Windows 计算机。 没有人知道所谓的“零号病人”是谁,但据我们所知,美国国家安全局特工在印度核设施的停车场周围“散布”了几个受感染的U盘。
Flame 使用了完全相同的 USB 漏洞,这是安全专家首次发现的将这两种病毒联系起来的漏洞之一,但 Stuxnet 并未利用 Windows Update Server 漏洞。 Stuxnet 的创建者知道他们很难使用这些方法闯入与互联网隔离的系统,因此他们没有利用这些漏洞来传播病毒。 另一方面,虽然 Stuxnet 总是试图感染插入受感染计算机的 USB 记忆棒并进一步传播,但 Flame 禁用了此功能。 Flame 并没有像 Stuxnet 那样将自身复制到新的 U 盘上。
由于安全问题长期以来一直是整个计算机系统的重中之重,因此系统安全的责任就落在了最了解系统的人身上。
关键是,尽管 Pyro 和 Stuxnet 的创建者可以利用相同的漏洞来传播他们的恶意软件,但他们并没有拿出所有漏洞来看看哪些内容会被阻止。 他们根据自己的目标仔细考虑要使用哪些漏洞。
在政府部门工作并能够创建 Pyre 和 Stuxnet 等恶意软件的人是黑客中的 NBA:少数才华横溢的黑客从事此类工作。 还有其他人在做类似的工作,但他们的专业知识较少,而且风险也不像网络战那么极端。
渗透测试人员是由公司付费试图闯入公司自己的系统的黑客。 公司付钱给黑客,让他们报告他们如何闯入公司系统,这样他们就可以强化自己的系统。 另一类黑客介于渗透测试人员(白帽)和恶意黑客(黑帽)之间,他们寻求从许多公司提供的“错误赏金计划”中获利。 通过漏洞赏金计划,公司同意向任何能够在其系统上执行特定操作(例如访问数据库)的人付费,以换取黑客解释他们是如何做到这一点的。
渗透测试人员所做的大部分工作都依赖于使用预构建的工具来执行攻击测试。 他们是工具的使用者,而不是工具的创造者。 许多工具仍然需要一些技术专业知识才能操作,但没有那么多。 渗透测试人员可能是也可能不是程序员或软件工程师,但他们几乎总是熟练的计算机用户,喜欢学习新技术和新兴工具集。
进攻性工作的范围广泛且多种多样,因为所需的技能很大程度上取决于具体目标。 从最低级别的社会工程到最高级别的恶意软件、加密破解程序和网络入侵工具的开发。
4 缓解和预防
缓解和预防都与防御有关:构建系统,使黑客无法做他们不应该做的事情。 从事此类工作的人通常技术含量很高。 软件工程师,尤其是那些在系统级别工作的工程师,完成了大部分工作。
也就是说,系统管理员、DevOps 工程师和网络工程师将参与缓解/预防项目。 应用程序开发人员还必须在这方面做一些工作,特别是修复他们创建的应用程序引入的安全漏洞。 这项工作正逐渐从应用工程师转向系统工程师。 操作系统工程师定义应用程序开发人员用来访问重要内容(例如文件系统或网卡上的文件)的套接字。 由于安全性如今已成为计算机系统的第一要务,因此默认情况下,保护系统安全的责任就落在了最了解系统的人身上。 Windows 操作系统团队最了解 Windows 的工作原理,因此他们最了解如何避免操作系统级别的严重入侵。 换句话说,一个好的操作系统应该让应用工程师很难引入安全漏洞。
大型组织拥有专门的软件团队,致力于创建本质上安全且可供应用程序开发人员使用的 API。 通过限制应用程序开发人员仅进行“安全”选择,我们可以大幅减少整体功耗。 例如,谷歌在 4 月份宣布,Android 操作系统现在对所有连接默认使用 TLS,这意味着互联网连接默认是加密的。
使用未加密的连接实际上会带来隐私风险,而默认使用 TLS 可以防止 Android 用户完全暴露在这些风险之下。 在以前的版本中,应用程序开发人员必须确保连接正确加密。 通过防止应用程序开发人员意外地做出“错误决定”,谷歌消除了所有潜在的攻击媒介。
软件组织需要认真对待构建安全软件系统的意识、培训和执行。
软件的激增和潜在攻击者数量的下降给各类开发人员带来了压力。 显然,如果应用程序开发人员能够在不造成安全漏洞的情况下做到这一点,那就太好了,因为操作系统工程师已经封锁了所有可能获得的漏洞,但这种观点是不现实的。 因此,应用程序开发人员及其管理团队需要在整个软件开发生命周期中更加关注安全实践。
人们想要进入编程领域的方式比以往任何时候都多,但其中大多数(包括许多学术学位课程)根本不关注设计安全软件。 软件组织需要认真对待构建安全软件系统的意识、培训和执行。
软件中不可避免的漏洞也需要软件开发下游的安全实践。 系统管理员等 IT 专业人员还执行缓解和预防任务,例如设置安全 VPN 以限制对关键内部服务器或数据库的访问、选择拥有大量安全资源的云提供商,以及设置监控和日志记录工具以通知当网络上的设备行为异常或发送可疑流量时。
日常计算机用户还应该采取缓解措施,希望通过选择强密码、最大限度地减少密码重复使用、使用双因素身份验证以及使用具有隐私/安全意识的软件(例如 EFF 的 HTTPS Everywhere、Brave Web 浏览器或 Keybase)。
就像“现实生活”中的安全一样,防御通常是一种比其他人更不易受到攻击的游戏。 想想看,一辆未上锁的汽车比上锁的汽车更容易被盗,不是吗? 扒手会寻找从衣服前袋中伸出的钱包。 窃贼会避开吠叫的狗和警报系统。 数据嫌疑人在诉诸暴力攻击之前会尝试常见的密码。 黑客寻找网络中的弱点(例如坦克中的智能温度计)。 黑客喜欢的一件事——就像打开一扇门——就是英国媒体报道软件。
黑客希望花费时间和精力来破解一些能让他们访问大量机器的东西,而在主要操作系统、网络服务器平台或加密库中找到缺陷就是一个金蛋鹅。 当发现此类缺陷时,有缺陷系统的安全团队会通过发布更新来阻止该漏洞进行响应。 保持最新状态是具有安全意识的 IT 经理工作的一个关键方面。
最后,由于安保工作的性质不断变化,在红队和蓝队演练中,进攻和防守通过交换进行交叉训练是很常见的。 学习如何破解系统可以帮助您更好地防御黑客,反之亦然。
5 取证和测量
攻击是不可避免的; 取证是对成功攻击的事后调查。 就像现在臭名昭著的 2016 年日本民主党全国委员会电子邮件泄露事件一样,这些公司是在事后才被聘用的。 一旦被录用,再检索电子邮件就为时已晚,但任何理智的人都会希望:
理想情况下,网络攻击的受害者会先于其他人知道这一点。 结合缓解和预防工作,具有安全意识的工程师和 IT 专业人员通常会向关键软件系统添加日志记录和报告工具。 此类报告可能涉及从崩溃报告接收遥测数据,或记录入站和出站网络流量。 这些报告工作创造了线索,数字侦探最终可以利用这些线索来查明某人如何闯入系统、泄露或受损的内容以及问题的潜在范围。
根据具体情况,取证工作可能涉及查看数据库访问日志、网络流量日志以及搜索文件系统以查找有关入侵的线索,例如恶意软件以及受感染用户创建或修改的文件。 这项工作往往是多学科的,而且黑客非常有创造力,他们使用多种策略来闯入系统,因此数字取证专家需要精通各种策略。
