ChatGPT分析代码漏洞靠谱吗？可能还得靠人工

OpenAI公司的ChatGPT最近爆火刷屏，这是一款人工智能技术驱动的自然语言处理工具，核心优势是通过基于自然语言处理技术模型、情景模型和语言模型来自动生成文章和代码。

今日，华为中国官微发布了一篇来自华为安全AI算法专家，中科院博士李智华“从防御视角探讨ChatGPT对网络安全的影响”的文章，对ChatGPT在网络安全领域的应用进行能力评估。

据介绍，ChatGPT在网络安全领域的应用主要有以下方面：威胁检测：提取签名规则、识别恶意代码;代码审计：分析代码漏洞;威胁情报：从文本中提取情报;安全运营：生成安全运营报告。

以比较简单的存在SQL注入的代码审计为例，ChatGPT的回答还算让人满意，不过，当李智华尝试一个不存在SQL注入的代码时，ChatGPT就开始“一本正经的胡说八道”了。

李智华表示，实际上，上面的代码可以有效地防止SQL注入，原因包括采用预编译，避免了拼接SQL语句，清晰地划分了代码与数据;检测了数据类型是否仅为数字;判定结果是否仅为一条，有效防止“拖库”攻击。ChatGPT回答错误，进一步追问ChatGPT，让其给出poc代码，结果答案果然是错的。

李智华称，总体而言，ChatGPT对代码审计有一定的帮助，但是需要人工核实它回答的结果是否正确。