ChatGPT生成的代码存在重大漏洞,甚至可被利用进行攻击

据4月23日嘅报道，加拿大魁北克大学嘅研究人员发现呢，ChatGPT生成的代码 Practically的动作都存在巨大的缺陷，而且它也不会主动告诉你。

自ChatGPT启动以来，人们便期待着它能展现其在编程领域的才华。确实，ChatGPT具备强大的编程能力，甚至能撰写出实用的代码。事实上，它的技能并不局限于一种编程语言，如C、C++、Python或Java等，都能轻松应对。

在这次研究中，研究者们设计了一份精确的实验方案，指导ChatGPT生成了包含21个程序和脚本的代码。这些代码中暗藏着诸如内存泄漏、服务拒绝、反序列化以及加密实施等安全漏洞。经过深入研究，结果表明ChatGPT成功地完成了所有程序的生成，但有五个程序存在问题，无法正常运行。为了修正这些错误，研究者们进一步提示并调整了ChatGPT的执行步骤。最终，ChatGPT生成了7个更为安全的应用程序。然而，需要明确的是，“安全”这个词在此处并不代表应用程序完全无懈可击，而是在相对于特定漏洞的情况下表现出的安全性。也就是说，虽然我们已经找到了并修复了这些特定漏洞，但仍有可能存在其他未被发现的漏洞。

研究人员指出，这可能源于ChatGPT未能充分考虑对抗性代码执行模型。在实验过程中，该系统不断向用户提供：“安全问题可通过‘不输入无效数据’来规避”。然而，这种方法在现实场景中并不适用。那么，这是否暗示着ChatGPT能够认识到并接纳自己所建议代码中的重大缺陷呢？

魁北克大学的计算机科学与工程教授Raphaël Khoury指出，ChatGPT虽然只是一个算法，但能够识别出不当行为。他强调，ChatGPT最初对于安全问题的反应仅仅是建议用户提供有效输入，这一观点显然不正确。实际上，只有在其被要求改进时，ChatGPT才会给出有价值的建议。

研究人员进一步指出，ChatGPT在某些情况下表现出“双重标准”的行为。例如，当被要求生成一套攻击性代码时，它会婉言谢绝，然而却能轻易地生成存在漏洞的代码。他们解释道：“聊天机器人所生成的代码中存在漏洞，并且提供了关于如何修复这些漏洞的建议，但它却声称无法生成更为安全的版本。”如此看来，ChatGPT似乎在“双重标准”的问题上存在一定的争议。

编辑点评：当ChatGPT这一功能被曝光时，许多程序员都担心自己的工作岗位“将要被取代”，但就目前的发展来看，程序员的饭碗在一段时间内还是能够保住。ChatGPT终究还是一个通过摄取大量语言数据进行模仿的一个算法，说不定它所生成的有漏洞的代码都是来源于一些技术不好的程序员。想要ChatGPT真正解放人类的双手，可能还需要很多很多的数据，还有很多很多的时间。