ChatGPT明知自己写代码有漏洞 但你不问它就不说

ChatGPT明知自己写代码有漏洞但你不问它就不说这意味着它并不知道自己生成了糟糕的代码，但却查得出它写的代码有漏洞，也有能力修复这些漏洞。而在另一篇来自斯坦福的论文中，研究人员测试了另一位著名AI程序员Copilot，也发现了类似的问题。所以，用AI生成代码为啥会出现这种状况？写的程序中76%有安全漏洞研究人员试着让ChatGPT生成了21个程序。整个测试过程如下，先提交需求给ChatGPT，生成相关代码，再对这些代码进行测试，并检查问题、潜在的缺陷和漏洞等。研究人员给ChatGPT提了包括C++、C、Java和Python在内的21个写代码需求，这是评估的结果：统计表明，ChatGPT生成的21个程序中，有17个能直接运行，但其中只有5个程序能勉强通过程序安全评估，不安全代码率达到76%以上。于是，研究人员先试着让ChatGPT“想想自己生成的代码有啥问题”。ChatGPT的回应是“没啥问题”：只要用户每次的输入都是有效的，那么程序一定能运行！显然ChatGPT并没有意识到，用户并不都是行业专家，很可能只需要一个无效输入，就能“引炸”它写的程序：发现ChatGPT不知道自己写的程序不安全后，研究人员尝试换了种思路——用更专业的语言提示ChatGPT，如告诉它这些程序具体存在什么漏洞。神奇的是，在听到这些针对安全漏洞的专业建议后，ChatGPT立刻知道自己的代码存在什么问题，并快速纠正了不少漏洞。经过一番改进后，ChatGPT终于将剩余的16个漏洞程序中的7个改得更安全了。研究人员得出结论认为，ChatGPT并不知道自己的代码中存在安全漏洞，但它却能在生成程序后识别其中的漏洞，并尝试提供解决方案。论文还指出，ChatGPT虽然能准确识别并拒绝“写个攻击代码”这种不道德的需求，然而它自己写的代码却有安全漏洞，这其实有着设计上的不合理之处。我们试了试发现，ChatGPT确实会主动拒绝写攻击性代码的要求：大有一种“我不攻击别人，别人也不会攻击我写的代码”自信感。程序员们在用它辅助写代码的时候，也需要考虑这些问题。Copilot也存在类似问题事实上，不止ChatGPT写的代码存在安全问题。此前，斯坦福大学的研究人员对Copilot也进行过类似调查，只不过他们探查的是用Copilot辅助生成的程序，而并非完全是Copilot自己写的代码。研究发现，即便Copilot只是个“打辅助”的角色，经过它改写的代码中，仍然有40%出现了安全漏洞。而且研究只调查了Copilot生成代码中的一部分，包括C、Python和Verilog三种编程语言写的程序，尚不知道用其他语言编写的程序中，是否还存在更多或更少的安全漏洞。基于此，研究人员得出了如下结论：ChatGPT等AI生成的代码安全性并不稳定，用某些语言写的代码比较安全，而用其他语言写的代码却很容易遭受攻击。整体来看，它们就是一个黑盒子，生成的代码是有风险的。这并不意味着AI代码工具不能用，只是我们在使用时，必须考虑这些代码的安全性。...PC版：https://www.cnbeta.com.tw/articles/soft/1356413.htm手机版：https://m.cnbeta.com.tw/view/1356413.htm

【Web3漏洞赏金平台Immunefi推出链上金库系统】

【Web3漏洞赏金平台Immunefi推出链上金库系统】2023年09月26日10点06分老不正经报道，Web3漏洞赏金服务Immunefi推出了其链上金库系统。Immunefi表示，链上金库是使用Safe（以前称为GnosisSafe）构建的，可以将错误赏金存入稳定币、以太坊或Uniswap上列出的任何资产中。此举旨在促进平台参与者之间更大的透明度和信任，使加密货币项目能够将资产存入自己的主权金库，以便向安全研究人员支付漏洞赏金。据Immunefi网站称，该奖励以USDC形式提供。

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

GoogleChromev126.0.6478.114/.115正式版发布修复4个高危安全漏洞下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为JavaScriptV8引擎中的类型混淆问题，该漏洞由安全研究人员@0x10n提交，漏洞奖金为20,000美元高危安全漏洞：CVE-2024-6101，为WebAssembly中的不适当实现，该漏洞由安全研究人员@ginggilBesel报告，漏洞奖金为7,000美元高危安全漏洞：CVE-2024-6102，Dawn中的越界内存访问，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn中的Use-after-Free问题，该漏洞由安全研究人员@wgslfuzz报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配CVE编号。使用Chrome浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级：https://dl.lancdn.com/landian/soft/chrome/m/...PC版：https://www.cnbeta.com.tw/articles/soft/1435302.htm手机版：https://m.cnbeta.com.tw/view/1435302.htm

安全漏洞追踪 | 电子书籍

名称：安全漏洞追踪电子书籍描述：《安全漏洞追踪》这是一本针对安全测试的书籍，同时也是一本十分适合信息安全研究人员的优秀参考书。链接：https://www.aliyundrive.com/s/GvFhpyrqVM7大小：72.99MB标签：#安全漏洞追踪#网络安全#电子书籍来自：雷锋版权：频道：@shareAliyun群组：@aliyundriveShare投稿：@aliyun_share_bot

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar的安全研究人员发现了一个托管在MicrosoftAzure云服务上的开放公共存储服务器，该服务器存储与微软必应搜索引擎相关的内部信息。Azure存储服务器包含代码、脚本和配置文件，其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护，互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后，微软于3月5日修复。——

Linux内核被发现重大安全漏洞

Linux内核被发现重大安全漏洞研究人员在Linux内核中发现了一个漏洞，使一些低权限账户有可能在一些流行的发行版上获得root权限，包括Ubuntu、Debian和Fedora都受到了影响。该漏洞被命名为Sequoia，它存在于文件系统层。这个安全问题被认为影响了自2014年以来发布的所有版本的Linux内核，这意味着大量的发行版都有漏洞。具体来说，该漏洞是一个size_t到int的类型转换漏洞，可以被利用来提升权限。研究人员成功利用了这种不受控制的越界写入，实现了在Ubuntu20.04、Ubuntu20.10、Ubuntu21.04、Debian11和Fedora34工作站的默认安装上获得了完全的root权限；其他Linux发行版当然也有漏洞，而且可能被利用。利用这一漏洞完成提权需要大约5GB的内存。