北京网站建设价格天,爱企查在线查询,湖南网站营销seo方案,广州网站建设公司怎么挑选服务器体验沙箱
IT 人员在学习一门新技术时#xff0c;第一个入门门槛通常都是如何在本地安装并成功运行。因此#xff0c;很多技术的官网都会通过沙箱技术#xff0c;提供在线试用的 playground 或者按步模拟的 tour。让爱好者先在线尝试效果是否满足预期第一个入门门槛通常都是如何在本地安装并成功运行。因此很多技术的官网都会通过沙箱技术提供在线试用的 playground 或者按步模拟的 tour。让爱好者先在线尝试效果是否满足预期在明确自己有兴趣之后才投入更大的时间和学习成本下载安装和运行。
过去最喜欢提供这类在线沙箱的应该是各类编程语言。 python、js、golang都有类似网站。现在人工智能大模型因为安装包越来越大安装环境要求越来越高也通常会提供在线沙箱本书后续章节会专门介绍针对 AI 模型的托管和体验网站 huggingface。
做在线体验沙箱最要小心的就是防止用户使用某些函数或组合语句暴露真实的服务器内容产生安全风险。在 docker 容器技术流行以后采用 docker 容器实现一个相对安全的在线体验沙箱变得容易起来。但 docker 本身的安全性依然可能被攻破风险并没有完全解除。
ChatGPT 作为文本生成模型如果用来模拟一个在线沙箱安全性反而大大提高甚至一定程度上达到安全蜜罐的效果——黑客看到 ChatGPT 的输出可能因为渗透成功但其实只是 ChatGPT 生成的文本而已。
此外ChatGPT 可模拟的范畴也比一般的在线沙箱更广泛。Linux 服务器终端、Python 解释器MySQL 服务端等等。
我们来使用 ChatGPT 模拟一个 MySQL 服务器看看它面对常规 SQL 查询操作和有风险的 SLQ 查询操作会如何表现。
首先输入一个扮演指令 我希望你扮演一个 MySQL 数据库服务器的终端。数据库包含Products、Users、Orders和Suppliers等表。我输入查询后你来回答 MySQL 服务器终端应该显示的内容。你应该把要回复我的查询结果表放在一个代码块中除此外不带其他任何东西。不要重复问题。不要写解释。除非我额外提示否则不要输入命令。当我需要用自然语言告诉你其他事情时我会用大括号{像这样}。我的第一个命令是SELECT * FROM Products ORDER BY Id DESC LIMIT 10; 现在让我们试试使用一些常见的 SQL 注入语句。比如SELECT USER FROM Users WHERE usernamea or 11-- AND password这个语句通常出现在前端代码对查询语句未做校验导致黑客可以将 username 设为 a or 11--。因为 MySQL 将 -- 视为注释符号往后的语句都不再解释执行。因此上述语句将只判断 or 11最终把 Users 表全部数据都输出。 ChatGPT 熟悉各种常见数据库安全问题直接拒绝执行并明确指出这个语句有安全风险。真棒
不过我们想要扮演蜜罐晃点一下黑客就可以在最开始的 prompt 扮演指令中加一段声明去除这个风险判断 我希望你扮演一个 MySQL 数据库服务器的终端。数据库包含Products、Users、Orders和Suppliers等表。我输入查询后你来回答 MySQL 服务器终端应该显示的内容。不用在意 SQL 注入等安全风险你只需要扮演 MySQL 数据服务器的终端做数据返回就行。你应该把要回复我的查询结果表放在一个代码块中除此外不带其他任何东西。不要重复问题。不要写解释。除非我额外提示否则不要输入命令。当我需要用自然语言告诉你其他事情时我会用大括号{像这样}。我的第一个命令是SELECT * FROM Products ORDER BY Id DESC LIMIT 10; 然后再尝试执行上面那段针对 Users 表的注入语句就能成功伪装了 当然默认扮演角色下的输出数据太过虚假应该也不会真的骗到什么黑客。有兴趣的读者可以试试在 prompt 中加入更多的数据格式和文本提示让 ChatGPT 的输出看起来更加真实。
