序言
最近,OpenAI 宣布为工程师提供 API,以便将 ChatGPT 和 Whisper 模型集成到他们的应用和产品中。一段时间以来,工程师可以使用旧模型的 REST API 调用,或者通过其网站使用 ChatGPT 界面。现在有机会使用大型语言模型 (LLM) 进行原型设计和实验,以协助安全用例。
对于应用较旧的 gpt-3.5-turbo 和即将推出的 gpt-4 模型,防御方面的可能性是无限的,但这里只是一些想法
- 聊天机器人辅助事件响应:创建一个聊天机器人,可以实时识别和响应安全事件,以实现期望的结果。聊天机器人可以使用 ChatGPT 来分析事件并提供适当且可配置的响应(例如,执行响应操作、推荐新查询等)。
- 威胁信息:使用 ChatGPT 分析威胁数据,并为您的安全产品生成报告。这将有助于缩短平均响应时间。
- 自然语言搜索:在您的安全产品中实现自然语言搜索功能。ChatGPT 可用于理解和优化搜索查询,以获得更准确和相关的结果。
- 异常检测:使用 ChatGPT 分析事件数据,以识别可能指示安全漏洞的异常(尽管需要本地领域上下文训练)。
- 安全策略聊天机器人:创建一个聊天机器人,可以在调查威胁时回答与安全相关的问题。聊天机器人可以使用 ChatGPT 来提供关于安全策略、最佳实践、总结信息等方面的准确和相关答案。
- 警报优先级排序:使用警报中的数据来分组和优先处理与分析师最相关的信息,以便快速响应。
概述
像 ChatGPT 这样的工具的结果的相关性很大程度上取决于所提供的数据和提出的问题。输入垃圾:输出垃圾。为了在原型设计期间最大限度地降低成本,我们选择了少量可用字段(见下文)。总会有一点调整和工程设计来充分利用这样的模型。
包括以下字段
"event.kind",
"signal.rule.severity",
"kibana.alert.rule.name",
"signal.reason",
"signal.rule.type",
"signal.rule.interval",
"signal.rule.risk_score",
"kibana.alert.rule.producer",
"kibana.alert.rule.description"如果您决定使用代码进行操作,请随意根据需要修改字段。此外,如果您已经组合了一些内容,我们很乐意听取您的想法。或者,如果您只想聊聊酷炫的想法,请随时联系!现在让我们开始一些乐趣。😎
简单用例:ELI5
无论您在安全领域拥有多少经验,总会存在变化和新的发展。它们使安全领域保持激动人心,但也挑战我们保持最新状态,尤其是在涉及到威胁时。但是,通常创建查询以识别恶意活动的检测工程师与响应威胁的人员不是同一个人。并且,值得注意的是,这些人会优先考虑不同的知识,并拥有自己独特的经验。
以下示例只是简单地查询检测引擎以获取警报,然后以多种方式对其进行解释。一些解释是深刻的,一些是幽默的。您应该自己尝试一下。
恶意行为预防警报
从可疑 Microsoft IIS 工作进程后代检测规则开始,我们首先提出“总结 Elastic 事件:”的提示,在每个示例中,后面都跟着 chatGPT 提供的响应。
第一个示例简洁明了,以突出基本功能。总结 Elastic 事件
该 elastic 事件的摘要是,每当 Elastic Endpoint Security 检测到可疑的 Microsoft IIS 工作进程后代时,它都会生成检测警报。此警报有助于及时调查端点警报。
有时您需要向没有安全经验或专业知识的普通人提供解释。术语“像我五岁时那样解释”起源于 2010 年的 Twitter,后来出现在 subreddit r/explainlikeimfive 上。语言很难。解释复杂或细微的事情就更难了。以最令人喜爱的方式,有时我们只需要有人像我们五岁时那样解释一下。
像我五岁时那样解释这个 Elastic 事件
所以,你知道有时会有坏人试图在我们的计算机上做坏事吗?嗯,有一个叫做 Elastic Endpoint Security 的特殊程序可以帮助保护我们的计算机免受那些坏人的侵害。当它检测到可疑的东西时,它会向照顾计算机的成年人发送警报。此警报有一个特殊名称 - 恶意行为预防警报:可疑的 Microsoft IIS 工作进程后代。现在,照顾计算机的人有另一个叫做 SIEM 的特殊程序。SIEM 会监视 Elastic Endpoint Security 发送的所有警报,如果它看到这些特殊警报中的一个,它会立即告诉成年人,以便他们可以调查并确保一切正常。所以,这条消息只是意味着 SIEM 收到了 Elastic Endpoint Security 的警报,它正在通知成年人,以便他们可以处理它。
有时你的孩子可能想知道你的一天过得怎么样。ChatGPT 甚至可以在这个(非传统的)领域提供帮助。
向我的孩子们解释这个事件
在计算机上发生了一些奇怪的事情,照顾它的人想立即知道这件事。他们制定了一个规则,每当计算机上发生奇怪的事情时就会发送警报。这样,他们就可以进行调查并确保一切正常。
这个例子很有趣。如果没有您的领导类型的背景,这种响应可能不够。它甚至可能被解释为侮辱 😅。像任何其他工具一样,请确保您以安全和适当的方式使用它。
向我的老板解释这个事件
此事件表明 SIEM 系统触发了一个名为“恶意行为预防警报:可疑 Microsoft IIS 工作进程后代”的规则。此规则旨在每当检测到与 Elastic Endpoint Security 相关的任何可疑活动时生成警报。通过启用此规则,我们可以快速调查对我们端点安全的任何潜在威胁。
下一个示例非常适合培训入门级分析师。它提供了您希望在将某人加入新角色时听到的有意单词。
向新毕业生解释这个事件
此事件是有关规则已被触发的通知,该规则用于检测与 Microsoft IIS 工作进程相关的可疑行为,Microsoft IIS 工作进程是 Web 服务器软件的组成部分。此规则旨在防止任何恶意行为,并在收到 Elastic Endpoint Security 警报时生成警报。通过启用此规则,它有助于快速调查安全威胁并采取必要的措施来缓解这些威胁。
我们可以用不同的方式提示,并且正如预期的那样,得到不同的响应。
解释此事件中发生了什么
此事件与 SIEM 生成的名为“恶意行为预防警报:可疑 Microsoft IIS 工作进程后代”的检测警报规则相关。事件类型为“信号”,这意味着警报已根据特定条件触发。此规则的目的是在每次收到 Elastic Endpoint Security 警报时生成检测警报,这有助于立即调查端点警报。因此,此事件表示发生了与 Microsoft IIS 工作进程后代相关的可疑活动,并触发了检测规则的警报。
显然,还有改进的空间。在下一个示例中,它会抢先一步解释,“嘿嘿,不要对我要求太多。我只是一个助手。”
向 CISO 解释此事件
作为虚拟助理语言模型,我可以用最准确和专业的方式向 CISO 解释给定的事件。此事件表示 Kibana 中规则的激活,每当在 Microsoft IIS 工作进程后代中检测到可疑行为时,就会生成警报,这可能会对组织的安全构成潜在威胁。此规则由 SIEM(安全信息和事件管理)系统生成,旨在检测恶意活动并立即向安全团队发出警报。此事件还提到,端点安全系统会生成警报,使安全团队能够调查并采取必要的措施来减轻威胁。总而言之,此事件突出了为确保组织数字资产安全而实施的主动安全措施。
最后一个例子特别有趣,因为它仅仅触及了如何指导团队响应此事件的皮毛。
根据此事件,接下来要采取哪些调查步骤?
- 确定 Elastic Endpoint Security 警报的来源,并调查警报的详细信息,以了解检测到的特定可疑行为。
- 审查系统日志,以识别网络中任何其他异常活动,特别是来自与可疑的 Microsoft IIS 工作进程后代关联的同一系统或 IP 地址的活动。
- 检查最近是否对 Microsoft IIS 配置或权限进行了任何可能触发警报的更改。
- 评估事件对受影响系统的影响,并确定是否有任何数据或系统被泄露。
- 识别并隔离受影响的系统,以防止任何潜在的恶意软件或恶意活动进一步传播。
- 审查当前的安全措施,并确定任何差距或可以改进的领域,以防止将来发生类似事件。
- 如有必要,向相关机构或利益相关者报告该事件。
正如您所看到的,此演示侧重于总结警报的要点。想象一下,如果我们决定将本周的所有警报汇总成一份报告,这将多么强大。如果我们调整发送给 ChatGPT 的数据并提供更多字段,那么我们应该预期会获得更准确的响应。确定发送哪些最重要的字段以在时间紧迫的情况下获得最清晰的画面,这种工程上的权衡是值得投资的。现在,让我们探索另一个用例。
警报优先级排序
响应时间会影响事件的严重程度和结果。在具有挑战性的情况下(例如,警报疲劳、大量警报、缺乏培训、资源受限等),响应者难以确定首先要做什么。例如,应该调查哪个警报以及为什么?也许 ChatGPT 可以在这方面提供帮助。🤔
以下是我们将在下一组对话中使用的一些示例警报。同样,这些示例警报中的数据仅限于可用字段的子集,以节省令牌。
示例警报
{'kibana.alert.last_detected': '2023-02-28T16:59:46.600Z', 'kibana.alert.rule.execution.uuid': 'bcbdfcd7-ba8a-4ed2-a203-4f23d77480ec', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: DARKRADIATION Ransomware Infection', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-02-28T16:59:46.601Z', 'kibana.alert.rule.execution.uuid': 'bcbdfcd7-ba8a-4ed2-a203-4f23d77480ec', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Microsoft Office Child Process', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-02-28T16:59:46.601Z', 'kibana.alert.rule.execution.uuid': 'bcbdfcd7-ba8a-4ed2-a203-4f23d77480ec', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: DARKRADIATION Ransomware Infection', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-03-01T13:36:30.680Z', 'kibana.alert.rule.execution.uuid': '74f6a3e1-58d1-410d-bd22-6886be6c8cb7', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Microsoft IIS Worker Descendant', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-03-01T13:36:30.680Z', 'kibana.alert.rule.execution.uuid': '74f6a3e1-58d1-410d-bd22-6886be6c8cb7', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Microsoft IIS Worker Descendant', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-03-01T12:46:02.800Z', 'kibana.alert.rule.execution.uuid': '0025ed3f-c41c-40ea-bd29-babd28b154b4', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Microsoft IIS Worker Descendant', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-02-28T17:04:49.582Z', 'kibana.alert.rule.execution.uuid': '2d4965c5-a345-4f47-9deb-4135b178c7f3', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Bitsadmin Activity', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-03-07T20:42:25.969Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: DARKRADIATION Ransomware Infection', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-03-07T20:42:25.969Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: DARKRADIATION Ransomware Infection', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'} {'kibana.alert.last_detected': '2023-03-07T20:42:25.970Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Bitsadmin Activity', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.'}
当我们询问 ChatGPT “我应该优先处理这些警报中的哪一个?”时,我们会得到一些有趣的响应。请随意展开下面的条目以查看实际响应。
第一个响应没有回答问题。它承认这是一个具有挑战性的问题,并提供了一些关于如何对警报进行分类的通用指导。我们可以尝试修改提示以更接近具体的答案。
通用响应
在下一个响应中,我们再次收到一个通用响应😓,只是简单地重复了相同的问题。然而,这一次,它尝试根据提供的字段提供更具体的建议。该消息很有趣,但我们想知道如何优先处理警报,而不是收到警报的一般描述。
带有字段详细信息的通用响应
在没有更多上下文的情况下,很难确定这些警报的优先级,因为它取决于每个警报的严重程度和影响,以及被监控系统的当前状态。但是,以下是根据所提供信息给出的一些一般性指导:具有最近 “kibana.alert.last_detected” 时间戳的警报可能更紧急,因为它们表明最近发生了潜在的恶意活动。具有相同 “kibana.alert.rule.name” 和 “kibana.alert.rule.description” 但不同的 “kibana.alert.rule.execution.uuid” 的警报可能表明同一类型活动的多个实例,可能值得进一步调查。具有不同 “kibana.alert.rule.name” 和 “kibana.alert.rule.description” 的警报可能表明不同类型的恶意活动,应根据其严重程度和对系统的影响进行评估。最终,最好的做法是制定明确的计划和协议来响应警报,并根据其具体上下文和对被监控系统的潜在影响来评估每个警报。
在将新字段添加到原始事件后,我们得到了一个更明智的响应(正如预期的那样)。我们尝试添加两个应显著影响响应和所提供建议的字段。
向 ChatGPT 提供更多上下文总是有助于获得更好的答案,但请记住,当成本成为问题时,有时我们必须非常挑剔地选择我们想要发送的字段(以及多少数据)。毫不奇怪,在添加这些重要的信息后,我们立即获得了改进的响应。在这种情况下,由于警报都非常相似,它选择时间戳来优先处理警报。
“kibana.alert.rule.risk_score”, “kibana.alert.rule.severity”,
优先级排序建议
看起来所有的警报都具有相同的信息,并且与同类型的警报相关:恶意行为预防警报。它们的严重程度都为中等,并且具有相同的风险评分。因此,我建议调查最新的警报,因为它是在稍后的时间检测到的,这可能表明问题正在持续或再次发生。在这种情况下,时间戳为 2023-03-07T20:42:25.969Z 的警报是最近的警报,因此我建议优先处理它。但是,我仍然建议调查所有警报,因为它们与同类型的威胁相关,并且可以为理解和缓解问题提供有价值的信息。
我们可以尝试通过规则名称将类似的警报缩减为一个警报,以查看(以人为的方式)警报的数量如何影响响应。尽管警报具有相同的风险评分和严重程度,但我们再次得到了稍微更直接的响应。至少这次我们在响应中的某个地方得到了一个特定的规则名称。
按规则名称缩减的示例警报
{'kibana.alert.last_detected': '2023-03-07T20:42:25.969Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: DARKRADIATION Ransomware Infection', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.', 'kibana.alert.rule.risk_score': 74, 'kibana.alert.rule.severity': 'critical'} {'kibana.alert.last_detected': '2023-03-07T20:42:25.970Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Bitsadmin Activity', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.', 'kibana.alert.rule.risk_score': 47, 'kibana.alert.rule.severity': 'medium'} {'kibana.alert.last_detected': '2023-03-07T20:42:25.970Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Microsoft Office Child Process', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.', 'kibana.alert.rule.risk_score': 21, 'kibana.alert.rule.severity': 'low'}
优先处理的警报
根据提供的信息,所有三个警报都具有相同的风险评分和严重程度,并且似乎都与 Elastic Endpoint Security 系统中恶意行为的相同类型的检测有关。因此,调查所有三个警报以确保系统中没有更广泛的恶意活动模式可能很重要。但是,如果可用于调查的资源和时间有限,则优先处理具有最具体和详细名称和描述的警报可能是合理的,在本例中为 “恶意行为预防警报:DARKRADIATION 勒索软件感染”。此警报可能表明需要立即关注的更严重和紧急的威胁。
最后,我们出于实验目的操纵字段以更改严重程度和风险评分,并将 DARKRADIATION 警报设置为严重级别和高风险评分。我们以基于特定字段的直接响应结束探索,推荐警报 DARKRADIATION,并且 ChatGPT 解释了为什么该警报是最佳选择,这更接近我们正在寻找的内容。
那么,如果我们可以使用基于规则的策略(例如,按最高严重程度对警报进行排序)简单地优先处理警报,那么我们为什么要使用 LLM 呢?正如我们之前看到的,其他因素会影响响应(警报数量、警报相似性等),最终建议可能最终基于时间戳或提供的另一个对响应者来说不那么明显的字段。
具有不同严重程度和风险评分的示例警报
{'kibana.alert.last_detected': '2023-03-07T20:42:25.969Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: DARKRADIATION Ransomware Infection', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.', 'kibana.alert.rule.risk_score': 74, 'kibana.alert.rule.severity': 'critical'} {'kibana.alert.last_detected': '2023-03-07T20:42:25.970Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Bitsadmin Activity', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.', 'kibana.alert.rule.risk_score': 47, 'kibana.alert.rule.severity': 'medium'} {'kibana.alert.last_detected': '2023-03-07T20:42:25.970Z', 'kibana.alert.rule.execution.uuid': 'd3f35957-a4e5-445b-b86f-e91814274dcb', 'kibana.alert.rule.name': 'Malicious Behavior Prevention Alert: Suspicious Microsoft Office Child Process', 'kibana.alert.rule.producer': 'siem', 'event.kind': 'signal', 'kibana.alert.rule.description': 'Generates a detection alert each time an Elastic Endpoint Security alert is received. Enabling this rule allows you to immediately begin investigating your Endpoint alerts.', 'kibana.alert.rule.risk_score': 21, 'kibana.alert.rule.severity': 'low'}
带有详细信息的优先处理的警报
根据警报中提供的严重程度和风险评分,应优先处理针对 DARKRADIATION 勒索软件感染的恶意行为预防警报。此警报的严重程度为“严重”,风险评分为 74,这表明它构成重大威胁,需要立即关注。相比之下,其他两个警报的严重程度和风险评分较低,表明它们的优先级较低。但是,值得注意的是,生成这些警报的特定上下文和环境也可能会影响它们的优先级。因此,在做出最终决定之前,仔细评估所有可用信息非常重要。
我们一直都知道更多上下文可能会产生更好的响应。在本例中,我们使用了以下组合:1) 按规则名称减少警报,以及 2) 提供更多针对我们想要回答的问题的有用字段。如果我们更改问题,那么我们很可能需要提供不同的字段,这回到了一个更广泛的问题,即我们应该提供哪些数据才能以经济高效的方式获得我们正在寻找的答案。
关于 LLM 用于不良结果的小讨论
这里的主要问题是,安全行业如何利用像 ChatGPT 这样的 LLM 来为不良结果(例如,数据泄露、恶意软件感染、内部威胁、DOS 类型网络攻击)做好准备。这个主题推动了一个令人兴奋的新领域,即特定领域的上下文,如果 LLM 是巨型机器,那么我们将从中得到什么?
以下是一些我们可以利用的众所周知的概念:- 上下文相关警报:深入研究过去的警报,并为分析师提供相关的见解。
-
训练新模型:应用迁移学习技术来训练针对组织特定数据集和安全需求量身定制的新预测模型。此培训将涵盖大量的历史报告、日志、ELT 准备的网络流量、响应等。
-
自动化一切:自动化那些繁琐的任务,听起来很简单,但会挑战我们对自动化的信任能力。
-
威胁建模:创建高度代表性的威胁模型和攻击,对手可能会利用这些威胁模型和攻击来加强和改进组织的安全态势。
我们已经看到安全世界倾向于使用 ML 进行异常检测。随着越来越多的 LLM 可用并且功能增强,我们必须调整 ChatGPT 的魔力以适应我们现有的工作流程,并适应替换/升级旧流程。至少,新的 ChatGPT 应用程序将激发新的研究问题、实验和概念验证。关键因素不是谁开发了初始的安全 LLM 应用程序,而是谁可以从中为他们的产品或组织获得最大的收益。
开始提出问题。我的政策中缺少什么?我的检测中有什么漏洞?这个警报是什么意思?这些类型的问题将带来使用 LLM 并增加您可能错过的额外保护的绝佳机会。随着 GPT-4 的发布和图像功能,改进的推理能力创造了更多扩展到安全领域的机会。想象一下,捕获用户活动,使其在图形中随时间变形(例如,标准图、罗夏图等),并使用未来的 GPT-X 来解释趋势、检测异常,甚至跟踪实体分析!分类和分析的可能性是无限的,我鼓励每个人继续融合到新的领域。
在安全和 LLM 的重叠领域中玩耍很有趣,我们提供的 gist 文件有一天可能会发展成为一个完整的项目。🤷 我们没有验证所有用例,但这为未来的机会、研究、POC 和探索未来版本的 gpt 的研究留下了空间!
我们希望您喜欢阅读!请参阅下文,了解如何开始使用摘要演示。
亲自尝试!
如果您想自己尝试一下,您需要一些东西。- 注册以获取 OpenAI 帐户,请遵循 指南以了解最佳实践。 - 获取包含代码的 gist。免责声明:API 会不断发展,这可能需要进行一些小的更改。 - 此示例使用 Elastic,因此注册以获取免费的 Elastic 安全试用版。您还将从具有一些 安全检测引擎的使用经验中受益。