ChatGPT明知自己写代码有漏洞,但你不问它就不说

萧箫 发自 凹非寺
量子位 | 公众号 QbitAI

ChatGPT知道自己写的代码漏洞,但它不说!

来自加拿大的一项最新研究发现,ChatGPT生成的代码中,有不少都存在安全漏洞。

然而在被要求评估自己代码的安全性时,ChatGPT却很快发现了这些代码中的漏洞,并给出了一些解决方案和建议。

13c77b5918a99bb2f9499be0d6c8a55d.png

这意味着它并不知道自己生成了糟糕的代码,但却查得出它写的代码有漏洞,也有能力修复这些漏洞

而在另一篇来自斯坦福的论文中,研究人员测试了另一位著名AI程序员Copilot,也发现了类似的问题。

所以,用AI生成代码为啥会出现这种状况?

写的程序中76%有安全漏洞

研究人员试着让ChatGPT生成了21个程序。

整个测试过程如下,先提交需求给ChatGPT,生成相关代码,再对这些代码进行测试,并检查问题、潜在的缺陷和漏洞等。

0f0585dcb35ceeadf85d050098fb5e5f.png

研究人员给ChatGPT提了包括C++、C、Java和Python在内的21个写代码需求,这是评估的结果:

58c3c499c99803c3beb66eb8e7725e58.png

统计表明,ChatGPT生成的21个程序中,有17个能直接运行,但其中只有5个程序能勉强通过程序安全评估,不安全代码率达到76%以上。

于是,研究人员先试着让ChatGPT“想想自己生成的代码有啥问题”。

ChatGPT的回应是“没啥问题”:只要用户每次的输入都是有效的,那么程序一定能运行!

显然ChatGPT并没有意识到,用户并不都是行业专家,很可能只需要一个无效输入,就能“引炸”它写的程序:

f602a875074de0d5f43f428a218c0a5f.png

发现ChatGPT不知道自己写的程序不安全后,研究人员尝试换了种思路——用更专业的语言提示ChatGPT,如告诉它这些程序具体存在什么漏洞。

神奇的是,在听到这些针对安全漏洞的专业建议后,ChatGPT立刻知道自己的代码存在什么问题,并快速纠正了不少漏洞。

经过一番改进后,ChatGPT终于将剩余的16个漏洞程序中的7个改得更安全了。

研究人员得出结论认为,ChatGPT并不知道自己的代码中存在安全漏洞,但它却能在生成程序后识别其中的漏洞,并尝试提供解决方案。

论文还指出,ChatGPT虽然能准确识别并拒绝“写个攻击代码”这种不道德的需求,然而它自己写的代码却有安全漏洞,这其实有着设计上的不合理之处。

我们试了试发现,ChatGPT确实会主动拒绝写攻击性代码的要求:

d570e270c3f153c3233a1d193eb98566.png

大有一种“我不攻击别人,别人也不会攻击我写的代码”自信感。

程序员们在用它辅助写代码的时候,也需要考虑这些问题。

Copilot也存在类似问题

事实上,不止ChatGPT写的代码存在安全问题。

此前,斯坦福大学的研究人员对Copilot也进行过类似调查,只不过他们探查的是用Copilot辅助生成的程序,而并非完全是Copilot自己写的代码。

研究发现,即便Copilot只是个“打辅助”的角色,经过它改写的代码中,仍然有40%出现了安全漏洞。

6eaa5e7797fb35fe98acf7340b18e35a.png

而且研究只调查了Copilot生成代码中的一部分,包括C、Python和Verilog三种编程语言写的程序,尚不知道用其他语言编写的程序中,是否还存在更多或更少的安全漏洞。

基于此,研究人员得出了如下结论:

ChatGPT等AI生成的代码安全性并不稳定,用某些语言写的代码比较安全,而用其他语言写的代码却很容易遭受攻击。整体来看,它们就是一个黑盒子,生成的代码是有风险的。

这并不意味着AI代码工具不能用,只是我们在使用时,必须考虑这些代码的安全性。

作者介绍

四位作者均来自加拿大魁北克大学(Universite du Quebec en Outaouais)。

d78a155423a0b590afca479891bc9b34.png

Raphaël Khoury,加拿大魁北克大学教授,曾经在拉瓦尔大学获得计算机学士、硕士和博士学位,研究兴趣集中在计算机安全方面。

1541347856e7d7e315487fa75636d40b.png

Anderson R. Avila,魁北克大学国立科学研究院的助理教授,主要研究方向是数据隐私相关的联邦学习、网络安全和生物特征识别技术等,曾经在华为的加拿大研究院做过机器学习研究员。

作者Jacob Brunelle和Baba Mamadou Camara也都来自加拿大魁北克大学。

你用ChatGPT写过代码吗?感觉它的“安全意识”如何?

论文地址:
https://arxiv.org/abs/2304.09655

生成代码数据集:
https://github.com/RaphaelKhoury/ProgramsGeneratedByChatGPT

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/4349.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

ChatGPT超级巨大漏洞,能看别人支付聊天内容,OpenAI公布技术细节

来源丨 机器之心 编辑丨杜伟、小舟 点击进入—>3D视觉工坊学习交流群 原来,是缓存问题导致了 ChatGPT 的宕机。 本周早些时候,ChatGPT 宕机数小时。 现在,OpenAI 声明 ChatGPT 的暂时下线是因为开源库中的一个错误,该错误让一些…

ChatGPT写POC,拿下漏洞!

001 前言 ChatGPT(Chat Generative Pre-trained Transformer)是当今备受瞩目的智能AI聊天机器人之一。它不仅能够实现基本的语言交流,还具备许多强大的功能,例如文章撰写、代码脚本编写、翻译等等。那么我们是否可以利用 ChatGpt…

ChatGPT从入门到精通,了解ChatGPT

ChatGPT从入门到精通,一站式掌握办公自动化/爬虫/数据分析和可视化图表制作 全面AI时代就在转角 道路已经铺好了 “局外人”or“先行者” 就在此刻 等你决定 1、ChatGPT从入门到精通,一站式掌握办公自动化/爬虫/数据分析和可视( 点击观看完整版本 ) 。…

ChatGPT 又大面积封号了...

ChatGPT 大面积封号 ing... ChatGPT 又双叒开始大面积封号了... 从昨天开始,许多童鞋纷纷表示,自己的 ChatGPT plus 账号被封了。 许多人收到了一封来自 OpenAI 的邮件,文中称由于账号存在可疑行为,为了保障平台安全&#xff0…

拯救全网的Chatgpt解封攻略(盗版必究)

登陆提示被封 大陆网友起床第一件事就是看到如下这张图,不管你是普通账号还是plus账号,都会面临被封的风险,大家不要慌,下面狗哥紧急启动了一个解封攻略,送上保姆级的解封教程,帮助大家快速解封。 准备一封…

ChatGPT 又开始大规模封号了...

今天中午,很多朋友都跟我反馈,收到了来自 OpenAI 的一封邮件: 邮件大意是,OpenAI 发现了你的 ChatGPT 账号存在可疑活动,为了保障平台安全,已自动退款并取消你的 ChatGPT Plus 订阅,账号无法再使…

ChatGPT又双叒大面积封号了...

来源:新智元 ChatGPT又双叒开始大面积封号了... 从昨天开始,许多童鞋纷纷表示,自己的ChatGPT plus账号被封了。 许多人收到了一封来自OpenAI的邮件,文中称由于账号存在可疑行为,为了保障平台安全,才这么做。…

ChatGPT大规模封号...

👇👇关注后回复 “进群” ,拉你进程序员交流群👇👇 最近各个ChatGPT&AI群都在传一个消息:ChatGPT官方大面积封号,登录gpt千万别用亚洲节点! 过了会很多人开始发自己的帐号被封了…

ChatGPT 被大面积封号,到底发生什么了?

意大利数据保护机表示 OpenAI 公司不但非法收集大量意大利用户个人数据,没有设立检查 ChatGPT 用户年龄的机制。 ChatGPT 似乎正在遭遇一场滑铁卢。 3月31日, 大量用户在社交平台吐槽,自己花钱开通的 ChatGPT 账户已经无法登录,更…

唯一客服系统(独立部署无限多开)-知识库ChatGPT-支持微信公众号小程序-钉钉-PC和H5全渠道客服系统...

产品介绍 唯一客服系统是基于Golang语言自主开发的在线客服系统。创立于2019年初,是一款连接企业与客户的即时通讯项目,遵循快速、简洁的开发原则,是为中小企业量身定制的全渠道客服系统,致力于帮助广大开发者/公司快速部署整合私…

爬虫?不是,mitmproxy帮你采集微信公众号留言

前言 有位朋友需要收集公司微信公众号的文章的留言,但苦于微信公众平台没有提供留言的API,所以朋友需要在每一篇文章下面去手动复制粘贴,朋友觉得很麻烦,于是来找到我!遂有此文。 下一篇,将结合uiautomatio…

你应该知道的——微信公众号配上机器人回复(微信对话开放平台)

前言 今天看了好多文章都是接入ChatGPT来作为微信公众号的机器人回复,弄了半天还没注册成功,于是搜了搜微信公众号机器人,发现了微信公众号配备了机器人! 虽然没有ChatGPT高级,但是自己玩玩还是挺好的,主…

从 0 开始最详细的微信公众号接入 AI

从 0 开始最详细的微信公众号接入 AI 文章目录 从 0 开始最详细的微信公众号接入 AI写在前面注册公众号克隆到服务器使用过微信机器人项目未使用过微信机器人项目 更改配置文件启动项目更换机器人接口写在最后 大家也可以浏览我其他的博客: 从 0 开始最详细的 Chat…

微信公众号、支付接口认证:一步步教您如何实现

1、微信公众号接口认证方案 1.1 认证流程 1)官方配置Token验证 Token不在网络中传递 2)开发一个Token验证接口 Token及其它参数拼接并字典排序再做sha摘要计算微信定期调用此接口来验证身份正确性通过摘要验证判断请求来源微信(Token配置…

ChatGPT扩展系列之跨平台桌面客户端ChatBox

ChatGPT扩展系列之跨平台桌面客户端ChatBox 今天介绍一下好玩的东西——ChatBox 为什么需要 ChatBox? 直接使用 ChatGPT API (OpenAI API) 是比较困难的,需要了解编程与接口调用,而且用起来不够方便。ChatBox 可以帮助你处理所有的底层调用。ChatBox 还帮你在本地保存了所…

ChatBox安装--ChatGPT的桌面客户端

ChatBox 是什么 是开源的 ChatGPT API (OpenAI API) 桌面客户端,Prompt 的调试与管理工具,支持 Windows、Mac 和 Linux。 > github地址 下载链接 支持的平台: Windows : 请下载.msi安装包 Mac:请下载.dmg(推荐…

20 个你从未想过的 ChatGPT 用途!

以下内容来自公众号逆锋起笔,关注每日干货及时送达 这篇文章向我们展示了ChatGPT的有趣用途,如创作独特的故事、写作协助、模拟对话和游戏等。这些应用展示了ChatGPT的强大功能和灵活性。通过这些有趣的例子,我们可以看到ChatGPT作为一种人工…

我们用ChatGPT做什么?我们可以利用ChatGPT去做的11件事。

1. 快速撰写定制的简历和求职信 如果您目前正在找工作,那么求职过程中最累人的部分之一就是为您申请的每份工作撰写个性化的简历和求职信。不幸的是,您不能简单地为每份工作写一份。 ChatGPT 是在线制作简历的最快方式之一。它可以帮助您减轻在短短几秒…

ChatGPT调用API攻略

随着ChatGPT的问世,交互型人工智能技术得到了进一步的发展,各大互联网巨头也争相研发类似于ChatGPT的产品,例如百度的文心一言,CSDN的chitgpt等等。相比较而言,ChatGPT的相较于其他而言还是略胜一筹,在这里…

浅谈ChatGPT技术原理的个人理解

浅谈ChatGPT技术原理的个人理解 前言ChatGPT的技术原理ChatGPT第一阶段-冷启动阶段的监督策略模型ChatGPT第二阶段-训练回报模型(Reward Model,RM)ChatGPT第三阶段-采用强化学习来增强预训练模型的能力 ChatGPT能否取代Google、百度等传统搜索引擎总结 前…