AI挖洞?利用ChatGPT辅助工作初探
0x0 前言
前几天,OpenAI 推出 ChatGPT工具,非常火爆,朋友圈各种刷屏,直到看到*老板发了三个ChatGPT进行代码审计的截图,由此产生了如何利用ChatGPT来辅助工作的想法:
0x1 注册账号
ChatGPT地址为:
https://chat.openai.com/chat
可以通过微软/Google账号注册,但最后需要海外手机验证短信验证码(不支持国内手机、不支持网络虚拟手机号码)
但可以用国外接码平台(免费的多半都是网络虚拟手机号,可以使用收费平台比如:https://sms-activate.org/cn ,最少充值0.5美刀,可支付宝付款)
0x2 辅助工作
0x21 代码审计
注册登陆成功后,即可通过最下对话框询问信息
或者在playground页面进行试用,https://beta.openai.com/playground ,测试下来感觉这里的信息更丰富:
第一个想法即利用ChatGPT进行代码审计,比如发一段代码查看是否有漏洞:
除了检查是否有漏洞,ChatGPT也会给出代码的功能,对于审计分析有一定帮助:
但免费版本有输入字符长度限制 4097,更长需要收费;但内容太短也无法根据上下文判断一些漏洞
也不支持git项目:
0x22 逆向分析代码功能
ChatGPT能识别源码功能,那反编译的代码呢,比如某段反编译的伪C代码如下:
ChatGPT给出的答案,不一定完全正确,但多少也能给分析代码提供一点帮助:
0x23 知识库
利用ChatGPT来挖洞似乎不太行(除非钞能力给个够),那还有其他用法呢,比如当个知识库?
当然有时候回答也不怎么靠谱:
0x24 代码demo
网络上ChatGPT令人津津乐道的功能,无疑是写代码demo,比如给定一个需求即给出代码demo:
遇到中止地方可以输入“继续”查看后续内容:
或者给出项目流程:
0x25 规则库
ChatGPT另一个比较好用的地方是各类检测规则,比如joern:
idapython检测代码:
当然,具体的规则、代码内容还需要实际调试测试试用,但也能起到不少帮助了
另外,也不是所有的回答都那么靠谱,UAF指的是释放后重引用,但这里却解释为未初始化的指针,给出的规则也不是weggli的,而是未知工具代码(应该是从git等开源项目上搜到的代码)
0x26 辅助编写shellcode
ChatGPT可以给出部分cve漏洞的shellcode,也可以将shellcode转为asm代码
或者将asm代码转为c代码,但不支持反编译,只能转化为直接执行asm的c代码
0x3 小结
利用AI来挖洞,似乎是一个美好的设想,不过现在实际体验却离想象有点距离,但如果开放了api or 钞能力,是否能达到设想呢
另外还有一个问题,ChatGPT给的代码demo应该都是来自各个开源项目,直接使用是否会存在侵权风险
0 评论:
发表评论