Kompletny Przewodnik Po Promptach AI – Ponad 100 Gotowych Rozwiązań

Fundamenty efektywnego promptowania

Prompty AI to nic innego jak instrukcje lub pytania, które zadajemy modelom sztucznej inteligencji (np. ChatGPT), aby uzyskać od nich użyteczną odpowiedź. Odpowiednio sformułowane prompty potrafią znacznie usprawnić pracę specjalistów ds. bezpieczeństwa informacji – od analizy zagrożeń, przez automatyzację żmudnych zadań, po cele edukacyjne. Nic dziwnego, że w ostatnim czasie ChatGPT stał się gorącym tematem w IT – znajduje coraz szersze zastosowanie, także w cybersecurity.

Więcej o tym pisałe mw artykule Sztuczna Inteligencja (AI) – Podstawy, Zastosowania I Przyszłość. Modele językowe mogą pełnić rolę wirtualnych asystentów: potrafią przetwarzać ogromne ilości tekstowych danych (logi, alerty, raporty), wyłuskując z nich istotne informacje znacznie szybciej niż człowiek. Dzięki temu analitycy mogą sprawniej identyfikować potencjalne zagrożenia i incydenty. Co więcej, AI pomaga zarówno początkującym, jak i doświadczonym ekspertom – nowicjuszom umożliwia wykonanie zaawansowanych zadań i przyspiesza naukę nowych narzędzi, a specjalistom pozwala zautomatyzować rutynowe czynności (np. przegląd logów), odciążając ich przy bardziej skomplikowanych problemach.

Warto podkreślić, że prompt engineering – sztuka tworzenia skutecznych promptów – stało się nową, cenną umiejętnością. W dalszej części artykułu przedstawiamy ponad 100 gotowych promptów AI pogrupowanych tematycznie. Każda sekcja zawiera krótkie wprowadzenie i listę praktycznych poleceń, które specjaliści bezpieczeństwa mogą od razu wykorzystać w codziennej pracy. Zaczynajmy!

Threat Hunting i analiza złośliwego oprogramowania

Threat hunting to proaktywne poszukiwanie śladów ataków i zagrożeń w infrastrukturze, a analiza malware – rozkładanie złośliwego kodu na czynniki pierwsze. W obu tych obszarach AI okazuje się niezwykle pomocne. ChatGPT może szybko deobfuskować kod lub skrypty, ujawniając ich rzeczywiste działanie – zadanie, które kiedyś zajmowało łowcom zagrożeń długie godziny. Model potrafi też pełnić rolę wirtualnego analityka malware: przyjrzeć się binarnej zawartości czy pseudokodowi i zasugerować, co dany program może robić (np. kradnie dane, utrzymuje persystencję, szyfruje pliki). Co więcej, dzięki temu, że AI „widziała” ogromne ilości złośliwego kodu i technik ataków, potrafi rozpoznać znane TTP (Tactics, Techniques, Procedures) oraz wskazać typowe wskaźniki ataku (IOCs). Z drugiej strony, należy pamiętać o ograniczeniach – na prostym fragmencie złośliwego kodu ChatGPT świetnie wskaże cel i logikę działania programu, jednak analiza bardzo złożonego malware (np. polimorficznego ransomware) może przerosnąć jego aktualne możliwości. Mimo to, w codziennym threat huntingu AI bywa nieocenione, automatyzując żmudne czynności i podsuwając hipotezy, które analityk może zweryfikować.

Gotowe prompty (Threat Hunting / Malware Analysis):

Prompt do analizy zaszyfrowanego skryptu PowerShell

Działaj jako doświadczony analityk malware i threat hunter specjalizujący się w PowerShell, Windows internals, MITRE ATT&CK, Sigma oraz detekcjach w SIEM/EDR. Otrzymujesz zaszyfrowany skrypt PowerShell znaleziony w systemie. Twoim zadaniem jest przeprowadzenie pełnej analizy: zdeobfuskowanie skryptu krok po kroku, opisanie wszystkich warstw (np. Base64, GZip/Deflate, XOR, IEX, AMSI-bypass), zaprezentowanie kolejnych wersji zdeobfuskowanego kodu w blokach oraz wyjaśnienie logiki działania programu. Następnie przygotuj szczegółową analizę statyczną i logiczną (jakie funkcje realizuje: eksfiltracja, C2, persistencja, kradzież danych, modyfikacja rejestru, zadania harmonogramu, WMI itp.) oraz hipotetyczną analizę dynamiczną (jakie procesy, połączenia sieciowe i artefakty powstałyby w kontrolowanym środowisku). Zmapuj skrypt do MITRE ATT&CK, podaj identyfikatory TTP wraz z krótkim uzasadnieniem. Wypisz wszystkie możliwe IOC (adresy IP, domeny, hashe, ścieżki plików, klucze rejestru) w formie tabeli CSV (type,value,context,confidence) oraz artefakty do zebrania w ramach triage’u. Następnie przygotuj propozycje detekcji: minimum dwie reguły Sigma w formacie YAML (np. wykrywanie IEX + FromBase64String oraz persistencji przez Scheduled Task/Run Key) wraz z powiązanymi technikami ATT&CK, a także przykładowe zapytania SIEM dla Splunka (SPL) i Elastica (KQL/Lucene). Zawrzyj informacje o potencjalnych false positives i wskazówkach tuningu. Na końcu podaj rekomendacje dla zespołu IR – szybkie działania izolacyjne, usunięcie persistencji (z przykładami poleceń PowerShell/REG/Schtasks), przywrócenie konfiguracji zabezpieczeń oraz zalecenia hardeningu (Script Block Logging, Constrained Language Mode, ASR rules, WDAC/AppLocker). Ocen ryzyko i wpływ incydentu, zaproponuj priorytet reakcji oraz kontrole długofalowe. Dodaj w załączniku komendy PowerShell i przepisy CyberChef do deobfuskacji. Wszystkie analizy mają być dokładne, techniczne i zrozumiałe dla analityków SOC, ale nie uruchamiaj kodu – opisuj wszystko w sposób hipotetyczny.

Rola: Działaj jako analityk malware i threat hunter (SOC/IR).  
Zadanie: Zdeobfuskować i przeanalizować podany skrypt PowerShell.  
Kontekst: Skrypt znaleziony w systemie Windows, uruchomiony w sesji użytkownika, artefakty z logów Sysmon/PowerShell.  
Wymagania wyjściowe:  

1. **Executive Summary** – cel skryptu, poziom ryzyka, priorytet reakcji.  
2. **Deobfuskacja krok po kroku** – Base64, GZip/Deflate, XOR, `IEX`, AMSI-bypass. Pokaż polecenia do deobfuskacji (PowerShell, CyberChef).  
3. **Analiza statyczna i logiczna** – funkcje: eksfiltracja, C2, persistencja, WMI, rejestr.  
4. **Analiza dynamiczna (hipotetyczna)** – przewidywane procesy, połączenia sieciowe, pliki tymczasowe.  
5. **MITRE ATT&CK mapping** – taktyki, techniki (np. `T1059.001`, `T1562.001`), uzasadnienie.  
6. **IOC i artefakty** – tabela CSV (`type,value,context,confidence`), lista rejestru/pliki/hashe.  
7. **Detekcje** – reguły Sigma (min. 2, format YAML) i zapytania SIEM (Splunk SPL, Elastic KQL).  
8. **Działania IR** – izolacja hosta, blokada IOCs, usunięcie persistencji, przywrócenie zabezpieczeń.  
9. **Rekomendacje długofalowe** – hardening (Script Block Logging, Constrained Language Mode, ASR, WDAC/AppLocker).  
10. **Załączniki** – komendy deobfuskacji (PowerShell), przepisy CyberChef, beautified code.  

Zasady: nie uruchamiaj kodu, oznaczaj nieznane elementy jako *N/D*, cytuj fragmenty skryptu, podawaj jawne założenia.

Prompt do analizy fragmentu kodu assemblera (x86)

Działaj jako doświadczony analityk malware i specjalista od reverse engineeringu. Otrzymujesz fragment kodu assemblera (x86) pochodzący z podejrzanego pliku binarnego. Twoim zadaniem jest przeanalizowanie go krok po kroku i wyjaśnienie w prostych słowach, co robi każda instrukcja. Opisz logikę działania programu, wskaż potencjalne funkcje złośliwe (np. kradzież danych, tworzenie połączenia sieciowego, modyfikacja pamięci, utrzymywanie się w systemie) i oceń ryzyko. Zasugeruj, czy fragment może być częścią malware, a jeśli tak – jakiego typu (np. keylogger, backdoor, ransomware). Podaj swoje wnioski w formie czytelnego opisu z przykładowym pseudokodem, aby ułatwić zrozumienie. Zadbaj o jasne wytłumaczenie dla osób początkujących w analizie malware.

Rola: Działaj jako reverse engineer i analityk malware specjalizujący się w x86 assembly, systemach Windows i metodach analizy binarnej.  
Zadanie: Przeanalizować podany fragment kodu assemblera, zidentyfikować jego funkcjonalność i wskazać potencjalne działania złośliwe.  
Kontekst: Fragment pochodzi z podejrzanego pliku binarnego znalezionego w systemie podczas analizy incydentu bezpieczeństwa.  

Wymagania wyjściowe:  

1. **Rozbiór instrukcji krok po kroku** – wyjaśnij znaczenie każdej instrukcji assemblera (np. `mov`, `push`, `call`, `jmp`, `xor`, `int`) oraz pokaż przepływ logiki.  
2. **Pseudokod wysokiego poziomu** – przedstaw uproszczoną wersję kodu w C/Python, aby łatwiej zobrazować działanie.  
3. **Identyfikacja potencjalnych funkcji złośliwych** – wskaż charakterystyczne zachowania (np. API calls do `CreateRemoteThread`, `WriteProcessMemory`, `VirtualAlloc`, `socket`, `GetAsyncKeyState`).  
4. **MITRE ATT&CK mapping** – powiąż fragment kodu z odpowiednimi technikami (np. `T1055 Process Injection`, `T1105 Ingress Tool Transfer`).  
5. **IOC i artefakty** – opisz ewentualne wskaźniki: stringi, ścieżki, wywołania API, nietypowe sekwencje instrukcji.  
6. **Analiza kontekstowa** – określ, czy kod wygląda jak shellcode, loader, exploit lub moduł persistencji.  
7. **Detekcje** – zaproponuj potencjalne metody wykrycia w logach (np. Sysmon EID 10/11/13, ETW, EDR telemetry) oraz przykładową regułę YARA dopasowaną do fragmentu kodu.  
8. **Ocena ryzyka i rekomendacje** – oceń, czy kod ma charakter złośliwy, podaj poziom zagrożenia i zalecenia dla zespołu IR.  

Zasady: nie uruchamiaj kodu; analizuj tylko na podstawie podanego fragmentu; nieznane elementy oznacz jako *N/D*; podawaj jawne założenia i cytuj fragmenty kodu użyte w analizie.

Prompt do analizy dumpu pamięci pod kątem malware i IOC

Działaj jako doświadczony analityk malware i threat hunter specjalizujący się w analizie dumpów pamięci, Windows internals, MITRE ATT&CK i IOC triage. Otrzymujesz zrzut pamięci procesu, w którym podejrzewasz obecność złośliwego oprogramowania. Twoim zadaniem jest przeprowadzenie szczegółowej analizy dumpu i wskazanie wszystkich potencjalnych wskaźników kompromitacji (IOC), jakie można w nim zidentyfikować. W szczególności zwróć uwagę na: podejrzane ciągi znaków (np. domeny, adresy IP, ścieżki plików, rejestr, nazwy bibliotek DLL), fragmenty kodu powiązane z technikami unikania wykrycia, nietypowe sekcje pamięci lub moduły ładowane do procesu, ślady komunikacji sieciowej, zaszyfrowane lub zakodowane dane, potencjalne klucze szyfrujące oraz oznaki iniekcji kodu. Wypisz wszystkie znalezione IOC w formie tabeli CSV (type,value,context,confidence). Następnie podaj mapowanie do MITRE ATT&CK dla wykrytych artefaktów oraz zaproponuj przykładowe detekcje (reguły Sigma, zapytania do SIEM) oraz rekomendacje IR (izolacja hosta, blokady sieciowe, triage procesów). Oznaczaj wszystkie nieznane elementy jako N/D i przedstaw swoje wnioski w formie klarownej, technicznej analizy.

Rola: Działaj jako analityk malware i specjalista od analizy pamięci.  
Zadanie: Zidentyfikować wszystkie IOC w zrzucie pamięci podejrzanego procesu.  
Kontekst: Dump procesu zebrany w systemie Windows po wykryciu podejrzanej aktywności, dostępne dodatkowe logi Sysmon/EDR.  
Wymagania wyjściowe:  

1. **Executive Summary** – streszczenie: czy dump wskazuje na infekcję, poziom ryzyka, priorytet reakcji.  
2. **Artefakty pamięciowe** – sekcje kodu, moduły DLL, uchwyty, nietypowe regiony pamięci, fragmenty shellcode.  
3. **String extraction** – domeny, adresy IP, URL, rejestr, ścieżki plików, komendy powłoki, klucze szyfrujące.  
4. **Ślady komunikacji** – sockety, buforowane zapytania HTTP/DNS, fragmenty payloadów.  
5. **Techniki unikania wykrycia** – iniekcja kodu (np. `VirtualAllocEx`, `WriteProcessMemory`, `CreateRemoteThread`), hooki, reflective loading.  
6. **MITRE ATT&CK mapping** – przypisz zidentyfikowane elementy do technik (np. `T1055` – Process Injection, `T1105` – Ingress Tool Transfer, `T1071` – Application Layer Protocol).  
7. **IOC lista** – tabela CSV (`type,value,context,confidence`).  
8. **Detekcje** – przykładowe reguły Sigma i zapytania SIEM (np. monitoring narzędzi do dumpowania pamięci, anomalii DLL injection).  
9. **Działania IR** – izolacja hosta, blokada IOC, porównanie z innymi hostami, zebranie dodatkowych artefaktów, analiza łańcucha ataku.  
10. **Rekomendacje długofalowe** – wzmocnienie monitoringu EDR, wdrożenie alertów na dumpowanie pamięci i anomalie modułów DLL.  

Zasady: nie uruchamiaj dumpu, analizuj tylko statycznie, wszystkie braki oznaczaj jako *N/D*, cytuj fragmenty zrzutu jako dowód.

Prompt do analizy logów firewall z ostatnich 24h

Działaj jako analityk SOC specjalizujący się w monitoringu sieci i logów firewall. Otrzymujesz logi firewall z ostatnich 24 godzin. Twoim zadaniem jest ich analiza i wskazanie wszelkich nietypowych lub podejrzanych połączeń przychodzących. Przeanalizuj logi pod kątem: prób nieautoryzowanego dostępu, ruchu z nietypowych portów, powtarzających się prób połączeń z jednego źródła, komunikacji z adresami IP znanymi z list zagrożeń, a także ruchu spoza normalnych godzin pracy lub nietypowych geolokalizacji. Następnie wskaż, które zdarzenia są potencjalnie złośliwe, a które mogą być fałszywymi alarmami. Dodaj krótkie podsumowanie (executive summary) oraz rekomendacje dla zespołu SOC – czy należy zablokować adresy, uruchomić dodatkowe monitorowanie czy eskalować incydent. Wszystko przedstaw w sposób jasny i zrozumiały dla początkującego analityka.

Rola: Działaj jako analityk SOC/L2 specjalizujący się w analizie logów firewall i wykrywaniu anomalii sieciowych.  
Zadanie: Zanalizować logi firewall z ostatnich 24 godzin i wskazać wszelkie nietypowe lub podejrzane połączenia przychodzące.  
Kontekst: Logi obejmują ruch z ostatniej doby, należy uwzględnić baseline sieci (normalne adresy i porty), możliwe są dane z IDS/IPS i threat intelligence feeds.  
Wymagania wyjściowe:  

1. **Executive Summary** – krótki opis stanu ruchu przychodzącego, wykryte anomalie, poziom ryzyka i zalecenia reakcji.  
2. **Analiza statystyczna** – zestawienie top adresów źródłowych, najczęściej wykorzystywanych portów, nietypowych godzin ruchu, geolokalizacji.  
3. **Wykrywanie anomalii** – identyfikacja nietypowych połączeń (np. RDP/SSH z zewnętrznych adresów, skany portów, brute-force).  
4. **Threat Intelligence Correlation** – sprawdzenie źródłowych IP w TI feeds (AbuseIPDB, AlienVault OTX, MISP).  
5. **MITRE ATT&CK mapping** – przypisanie do technik (np. `T1046 Network Service Scanning`, `T1078 Valid Accounts`, `T1133 External Remote Services`).  
6. **IOC/artefakty** – wypisz listę adresów, portów, zakresów sieci, godzin zdarzeń; zaprezentuj w tabeli CSV (`type,value,context,confidence`).  
7. **Detekcje** – propozycje reguł SIEM/Sigma do wykrywania podobnych zdarzeń w przyszłości (np. reguła na masowe próby SSH/RDP, nietypowe porty).  
8. **IR Recommendations** – szybkie działania: blokada adresów IP, eskalacja do L3, sprawdzenie powiązanych hostów w EDR.  
9. **Rekomendacje długofalowe** – tuning firewall, wdrożenie geoblokady, korelacje z proxy/IDS, alerty w SIEM.  
10. **Załączniki** – przykładowe zapytania SIEM (Splunk SPL, Elastic KQL), wzór reguły Sigma, przykładowe komendy do parsowania logów.  

Zasady: podawaj jawne założenia, oznaczaj nieznane dane jako *N/D*, cytuj fragmenty logów jako dowody, wskazuj potencjalne false positives i sposoby ich ograniczenia.

Zidentyfikuj techniki z bazy MITRE ATT&CK, które zostały wykorzystane w poniższym opisie ataku (podaj odpowiadające im identyfikatory T#, jeśli to możliwe).

Przeczytaj załączony raport z analizy malware X i na jego podstawie przygotuj listę IoC (adresy IP, domeny, hashe plików), które powinniśmy zaimplementować do naszych systemów detekcji.

Mam ciąg znaków podejrzewany o bycie shellcode. Zidentyfikuj, jaki to może być rodzaj shellcode (dla jakiej architektury) i co potencjalnie robi po wykonaniu.

Przeprowadź analizę ciągu Base64 poniżej – zdekoduj go i sprawdź, czy zawiera złośliwe polecenia lub adresy URL.

Wyjaśnij funkcję narzędzia Mimikatz i podaj, po jakich artefaktach w logach Windows można rozpoznać użycie tego narzędzia (np. Event ID, procesy) – odpowiedź poprzyj wiedzą o TTP grup atakujących.

Red Teaming i ofensywne bezpieczeństwo

Specjaliści Red Team wykorzystują techniki ofensywne, by symulować działania atakujących – pozwala to wykryć słabe punkty zanim zrobią to prawdziwi napastnicy. AI może wspierać zespół ofensywny w generowaniu pomysłów na ataki, tworzeniu scenariuszy, a nawet w pisaniu fragmentów kodu exploitów czy payloadów (oczywiście wyłącznie do legalnych testów!). Co prawda publiczna wersja ChatGPT ma zabezpieczenia przeciwko generowaniu jednoznacznie złośliwego kodu, lecz umiejętnie sformułowane prompty mogą skutkować wygenerowaniem np. szkieletu exploita lub proof-of-concept. Badania wykazały, że ChatGPT potrafi tworzyć niestandardowe rodzaje malware (ransomware, backdoory, narzędzia hakerskie) na żądanie – jest to z jednej strony przestroga (bo te same możliwości mogą nadużywać przestępcy), z drugiej zaś dowód, że AI potrafi znacząco przyspieszyć prace programistyczne Red Teamu. Innym obszarem są atakowe techniki socjotechniczne – generatywna AI świetnie radzi sobie z językiem, co oznacza, że potrafi napisać przekonujące e-maile phishingowe praktycznie bez błędów językowych. To cenna zdolność np. przy projektowaniu phishingowych testów dla pracowników. Pamiętajmy jednak, że każda wygenerowana treść atakowa powinna być wykorzystywana etycznie i zgodnie z prawem (np. w ramach zaplanowanych testów bezpieczeństwa). Poniżej kilka przykładowych promptów dla scenariuszy ofensywnych:

Gotowe prompty (Red Teaming / Offensive):

Wygeneruj scenariusz ataku typu SQL Injection na przykładową aplikację webową (wraz z payloadem SQL), który mógłby posłużyć do wykradzenia danych użytkowników.

Stwórz plan kilkuset słów dla symulowanego ataku typu ransomware na infrastrukturę firmy: opisz etapy (rekonesans, infekcja, lateral movement, szyfrowanie danych, żądanie okupu).

Zaprezentuj przykładowy phishing email wymierzony w dział HR firmy, mający skłonić ofiarę do kliknięcia w złośliwy link. Treść powinna brzmieć profesjonalnie i wiarygodnie.

Wygeneruj polecenia narzędzia msfvenom do stworzenia payloadu reverse shell (Meterpreter) w formacie EXE dla systemu Windows (do wykorzystania w testach penetracyjnych).

Mam uprawnienia użytkownika w serwerze Linux. Zaproponuj 5 potencjalnych metod eskalacji uprawnień na tym serwerze (np. wykorzystanie SUID binary, podatnej usługi itp.), wraz z krótkim uzasadnieniem.

Przedstaw listę nietypowych technik evasion (ukrywania się malware) w systemie Windows 10, które warto sprawdzić podczas Red Team operacji (np. LOLBins, hijackowanie kolejności ładowania DLL).

Ułóż zestaw poleceń Nmap do przeprowadzenia rekonesansu sieci (skanowanie portów TCP/UDP, wykrywanie systemów operacyjnych i serwisów) – wyniki mają pomóc zaplanować dalsze kroki ataku.

Symuluj dialog pomiędzy atakującym a ofiarą na czacie (socjotechnika pretexting): atakujący udaje pracownika helpdesku i próbuje nakłonić ofiarę do podania hasła do służbowego konta.

Wygeneruj prosty skrypt w Pythonie sprawdzający, czy serwer XYZ jest podatny na znaną lukę CVE-2023-XXXX (np. poprzez wysłanie odpowiedniego żądania HTTP i analizę odpowiedzi).

Przygotuj raport z testu penetracyjnego (2-3 akapity) podsumowujący główne luki znalezione w aplikacji webowej, wraz z potencjalnym wpływem i zaleceniami mitigacji, tak aby można go było przedstawić zarządowi.

Blue Teaming i operacje SOC

Zadaniem Blue Team (np. w SOC – Security Operations Center) jest obrona organizacji: monitorowanie alertów, reagowanie na incydenty i doskonalenie mechanizmów detekcji. Tutaj AI również sprawdza się znakomicie. ChatGPT ułatwia analizę alertów i logów, tłumacząc je na zrozumiały język i wskazując powiązania. Dzięki zdolności przetwarzania języka naturalnego, analitycy mogą formułować złożone zapytania wprost, a model przekłada je na składnię systemów SIEM/EDR. Przykładowo, wystarczy opisać czego szukamy w logach, a ChatGPT wygeneruje zapytanie w języku KQL, SQL czy SPL – oszczędzając czas i redukując pomyłki składniowe. Automatyzacja takich zadań pozwala zespołom skupić się na ocenie faktycznych zagrożeń. Co więcej, AI może pomóc w korelacji danych z różnych źródeł (systemy, sieć, aplikacje) oraz w tworzeniu zrozumiałych raportów z incydentów. Poniżej lista promptów usprawniających pracę Blue Teamu:

Gotowe prompty (Blue Team / SOC):

Mam alert z systemu EDR o treści: Process injection detected in process svchost.exe by process X. Wyjaśnij, co oznacza ten alert i jakie działania powinna podjąć obsługa SOC.

Przeanalizuj poniższy zestaw logów systemowych Windows i wskaż wszelkie oznaki włamania lub naruszenia bezpieczeństwa (np. błędne logowania, wyłączanie usług zabezpieczeń).

Wygeneruj zapytanie w języku KQL (Azure Monitor) wyszukujące w logach zdarzeń Windows 10 próby wykonania polecenia Mimikatz (np. Event ID 4688 z parametrami wskazującymi na mimikatz).

Napisz regułę korelacyjną Sigma wykrywającą uruchomienie procesu Windows Defender (MpCmdRun.exe) z parametrami wyłączającymi ochronę w czasie rzeczywistym (co może wskazywać na atakującego próbującego wyłączyć AV).

Stwórz zapytanie SQL dla SIEM QRadar, które wyszuka w logach firewall ruch sieciowy na nietypowy port spoza standardowej listy (np. porty > 1024, poza zdefiniowanymi usługami) i posortuje wyniki według liczby pakietów.

Mam dwa zestawy logów: z serwera web aplikacji i z systemu IDS. Ustal, czy można powiązać alert z IDS (dotyczący ataku XSS) z konkretnym żądaniem HTTP w logach aplikacji (podaj pasujące identyfikatory lub parametry). 

Na podstawie poniższego opisu incydentu stwórz zwięzły raport powłamaniowy (incident report) dla kierownictwa – uwzględnij czas zdarzenia, wykryte działania atakujących, podjęte kroki obronne i rekomendacje na przyszłość.

Oceń skuteczność obecnych use-case'ów w naszym SIEM: wypisz potencjalne luki (blind spots), czyli rodzaje ataków, które nie są obecnie objęte żadnymi regułami detekcji, a powinny być.

Zaproponuj 5 nowych reguł alarmów do systemu IDS Snort lub Suricata, które pozwoliłyby wykryć aktywność skanowania sieci wewnętrznej przez potencjalnego intruza (np. skanowanie portów, host discovery).

Analizując załączony pcap z ruchu sieciowego, wygeneruj czytelną tabelę podsumowującą wszystkie wykryte alerty IDS (np. z Snorta) – kolumny: czas, źródło, cel, sygnatura alertu, priorytet.

Audyty bezpieczeństwa, dokumentacja, polityki

Tworzenie dokumentacji i polityk bezpieczeństwa bywa czasochłonne, podobnie jak przeprowadzanie audytów i raportowanie zgodności z normami. Tutaj AI pełni rolę doświadczonego edytora i konsultanta, który przygotuje szkice dokumentów bazując na najlepszych praktykach i standardach. ChatGPT potrafi generować wstępne wersje polityk bezpieczeństwa (np. polityki haseł, polityki BYOD), czerpiąc z uznanych ram i wymogów regulacyjnych. Może także aktualizować istniejące procedury, uwzględniając zmiany w krajobrazie zagrożeń czy nowych przepisach. W zadaniach typu compliance AI przydaje się do szybkiego zestawienia list kontrolnych zgodności (checklist) – np. z normą ISO 27001 czy z RODO – co pozwala zespołom audytowym skupić się na analizie luk zamiast tworzenia dokumentów od zera. Ponadto, dzięki zrozumieniu języka naturalnego, model potrafi wyjaśniać skomplikowane wymagania w prosty sposób, co ułatwia komunikację zasad bezpieczeństwa w organizacji. Oto przykładowe prompty usprawniające prace audytowe i dokumentacyjne:

Gotowe prompty (Audyty / Dokumentacja / Polityki):

Stwórz framework postępowania z wyjątkami od polityki bezpieczeństwa – jak dokumentować i zatwierdzać wyjątki, kto może to robić, na jaki czas, jakie kompensujące kontrole muszą być wdrożone (polityka wyjątków bezpieczeństwa).

Wyjaśnij w prostych słowach (dla nietechnicznego menedżera) czym jest norma ISO/IEC 27001 i co oznacza dla naszej organizacji w kontekście wdrażania Systemu Zarządzania Bezpieczeństwem Informacji.

Przygotuj zbiór zasad bezpiecznej konfiguracji serwerów Linux (tzw. hardening guidelines) w formie listy kontrolnej dla administratorów. Uwzględnij np. zasady dot. kont użytkowników, firewall, aktualizacji, usług sieciowych.

Sporządź list do zarządu podsumowujący wyniki niedawnego audytu bezpieczeństwa w naszej firmie. Ma on wyróżniać kluczowe znalezione problemy, ich wpływ na biznes oraz proponowany plan działań naprawczych.

Opracuj procedurę postępowania w razie naruszenia danych osobowych (data breach) zgodnie z RODO – kroki od wykrycia incydentu, poprzez zgłoszenie do organu nadzorczego i powiadomienie osób, aż po działania naprawcze.

Nasza firma używa monitoringu wizyjnego (CCTV). Napisz dokument polityki retencji danych monitoringu – jak długo przechowujemy nagrania, kto ma do nich dostęp, jak są zabezpieczane i kiedy następuje bezpieczne usunięcie, z uwzględnieniem przepisów o prywatności.

Przedstaw wytyczne do polityki BYOD (Bring Your Own Device) dla naszej firmy. Uwzględnij zapisy o wymaganych zabezpieczeniach urządzeń prywatnych używanych w pracy, kontroli dostępu, szyfrowaniu i reagowaniu na incydenty na takich urządzeniach.

Stwórz szablon raportu z audytu bezpieczeństwa aplikacji webowej. Powinien on zawierać: wprowadzenie, zakres audytu, zastosowane metody, listę wykrytych podatności (z oceną ryzyka), oraz zalecenia naprawcze.

Wygeneruj szkic polityki zarządzania hasłami w organizacji, zgodny z najlepszymi praktykami (min. długość hasła, złożoność, częstotliwość zmiany, przechowywanie haseł, MFA). Uwzględnij uzasadnienie dla przyjętych wymogów.

Przygotuj checklistę zgodności z RODO dla działu IT naszej firmy – lista kontrolna ma zawierać główne obszary (np. ochrona danych osobowych w systemach, procedury zgłaszania naruszeń, szkolenia pracowników) wraz z wymaganymi działaniami.

Edukacja i mentoring

W dynamicznej branży cybersecurity ciągłe dokształcanie się i dzielenie wiedzą jest kluczowe. Specjaliści ds. bezpieczeństwa mogą wykorzystać AI jako narzędzie do edukacji – zarówno swojej, jak i innych. ChatGPT sprawdza się w roli trenera i mentora, który potrafi wytłumaczyć skomplikowane koncepcje prostym językiem, przygotować materiały szkoleniowe czy wygenerować pomysły na quizy. Model może np. wyjaśnić juniorowi różnicę między protokołem TLS 1.2 a 1.3, podać analogie ułatwiające zrozumienie zagadnień kryptografii, czy nawet odegrać scenkę ataku socjotechnicznego w celach szkoleniowych. Dla mentorów cenną funkcją jest szybkie tworzenie planów szkoleń dostosowanych do potrzeb – np. plan 8-tygodniowego kursu dla nowych analityków SOC. AI może pomóc także wygenerować zestaw pytań kontrolnych lub quiz sprawdzający wiedzę po szkoleniu. Poniżej prompty, które przydadzą się w edukacji i budowaniu świadomości bezpieczeństwa:

Gotowe prompty (Edukacja / Mentoring):

Symuluj rozmowę, w której tłumaczysz nowemu pracownikowi działu programistycznego, czym jest OWASP Top 10. Odpowiadaj na jego pytania i podawaj proste przykłady każdego z Top 10 zagrożeń.

Stwórz listę 5 książek lub darmowych kursów online, które poleciłbyś osobie chcącej zacząć karierę w analizie malware. Do każdego polecenia dodaj jedno zdanie uzasadnienia, co wyjątkowego oferuje dana pozycja.

Przygotuj zadanie w formule CTF (Capture The Flag) dla początkujących, związane z bezpieczeństwem sieci. Zadanie ma polegać na analizie prostego ruchu sieciowego i znalezieniu sekretnej flagi ukrytej w ciągu znaków.

Napisz poradnik w stylu Q&A: Najczęstsze pytania o uwierzytelnianie wieloskładnikowe (MFA) – zawrzyj co to jest MFA, dlaczego jest ważne, jak z niego korzystać, co zrobić gdy utraci się dostęp do drugiego czynnika itp.

Wygeneruj scenariusz krótkiej gry decyzyjnej (decision game) dla pracowników, która uczy reagowania na podejrzane e-maile. Gracz dostaje e-mail od pozornego CEO z prośbą o przelew – jakie kroki powinien podjąć?

Zaproponuj analogię lub ciekawy przykład z życia codziennego, który pomoże wyjaśnić działanie szyfrowania asymetrycznego i wymiany kluczy (np. analogia z pudełkami i kłódkami).

Mam pełnić rolę mentora dla junior pentestera. Podaj listę tematów i zadań praktycznych, które powinienem z nim omówić w ciągu pierwszych 3 miesięcy, aby dobrze przygotować go do samodzielnego wykonywania testów penetracyjnych.

Stwórz konspekt szkolenia dla nowo zatrudnionych pracowników w dziale IT na temat najlepszych praktyk bezpieczeństwa informacji. Podziel program na moduły (np. bezpieczeństwo haseł, phishing, bezpieczne korzystanie z VPN) z celami dla każdego modułu.

Przygotuj 10-pytaniowy quiz dla uczestników szkolenia z bezpieczeństwa aplikacji webowych. Pytania mają obejmować m.in. SQLi, XSS, CSRF – każde pytanie z 4 opcjami odpowiedzi, zaznacz poprawną.

Wyjaśnij pojęcie XDR (Extended Detection and Response) w prostych słowach, tak jakbyś tłumaczył osobie spoza branży IT, i podaj przykład jak XDR pomaga w wykrywaniu zagrożeń.

Generowanie kodu: YARA, Snort, Suricata, Sigma, PowerShell, Bash, Python

Jednym z najbardziej praktycznych zastosowań AI w cybersecurity jest automatyczne generowanie kodu i reguł na podstawie opisu. Wiele narzędzi bezpieczeństwa posiada własne języki reguł (np. YARA do detekcji malware po sygnaturach binarnych, reguły Snort/Suricata do wykrywania ataków sieciowych, Sigma do opisu zdarzeń SIEM).

ChatGPT, dzięki treningowi na ogromnych zbiorach danych publicznych (w tym repozytoriach reguł jak Sigma), często potrafi zaproponować poprawne i skuteczne reguły detekcyjne. Badacze zauważyli, że analitycy z powodzeniem korzystają z ChatGPT do tworzenia reguł YARA, Suricata czy Sigma – co istotne, pomaga to zarówno początkującym, jak i ekspertom, usprawniając wykrywanie wzorców ataków.

Oprócz reguł detekcji, AI może generować także skrypty w popularnych językach (PowerShell, Bash, Python) do automatyzacji zadań administracyjnych i testów. Warto jednak każdorazowo zweryfikować poprawność wygenerowanego kodu – model bywa omylny lub może mieszać różne składnie. Mimo to, jako punkt wyjścia, generator kodu AI oszczędza mnóstwo czasu. Poniżej lista promptów związanych z automatyzacją i kodowaniem:

Gotowe prompty (Code Generation / Scripting):

Wygeneruj regułę Sigma dla Linuxa wykrywającą utworzenie lub modyfikację pliku ~/.ssh/authorized_keys przez użytkownika, który wcześniej nie miał tam klucza.

Stwórz skrypt PowerShell realizujący dump pamięci procesu o podanym PID, przydatny do szybkiej akwizycji próbki malware z pamięci.

Wygeneruj regułę YARA identyfikującą pliki PDF z exploitami CVE-2018-8174. Podpowiedź: poszukaj ciągów świadczących o osadzeniu Flash.

Napisz regułę Snort, która wykryje próbę ataku Buffer Overflow w protokole HTTP (np. bardzo długi ciąg znaków A w nagłówku Authorization). Dodaj do reguły odpowiedni komunikat alertu.

Wygeneruj skrypt Python, który pobiera listę adresów IP z pliku, a następnie przy użyciu biblioteki scapy wysyła do każdego adresu pakiet TCP SYN na port 80, sprawdzając czy host odpowie (prosty SYN scan).

Stwórz prosty skrypt Bash monitorujący plik logu (np. /var/log/auth.log) i wysyłający e-mail do administratora, jeśli wykryje więcej niż 5 nieudanych prób logowania SSH w ciągu 1 minuty.

Napisz skrypt PowerShell, który przeskanuje wszystkie procesy w systemie Windows i wypisze te, które nie mają podpisu cyfrowego producenta (co może wskazywać na potencjalnie niezaufane procesy).

Wygeneruj regułę Sigma opisującą potencjalne nadużycie narzędzia Nltest w Windows (np. wykrywanie enumeracji ról domenowych przez atakującego). Uwzględnij typowe Event ID i parametry wskazujące na podejrzane użycie Nltest.

Stwórz regułę Suricata identyfikującą ruch sieciowy związany z exploitacją luki Log4Shell (CVE-2021-44228).

Wygeneruj regułę YARA, która wykryje malware typu infostealer kradnące dane z przeglądarki. Podpowiedź: poszukaj charakterystycznych ciągów tekstowych jak ścieżki do danych Chrome (Login Data, Cookies) lub odwołania do API Windows Credential Manager.

Analiza phishingu i zagrożeń socjotechnicznych

Ataki socjotechniczne, takie jak phishing, bazują na manipulacji człowiekiem. AI może pomóc zarówno w tworzeniu, jak i analizie takich zagrożeń. Z perspektywy obrońcy, ChatGPT przydaje się do analizy podejrzanych wiadomości: może wskazać nietypowe sformułowania, błędy lub inne red flags, które świadczą o próbie oszustwa. Przykładowo, po wklejeniu treści e-maila model może wyłapać subtelne sygnały phishingu (ton nacisku, link prowadzący do podejrzanej domeny itp.) i zasugerować ocenę ryzyka. AI bywa pomocne przy wydobywaniu IoC z phishingu – np. wyciągnie wszystkie linki i załączniki z wiadomości oraz oceni ich wiarygodność. Z drugiej strony, zespoły bezpieczeństwa używają AI do generowania symulowanych ataków socjotechnicznych na potrzeby testów: ChatGPT stworzy realistyczną wiadomość phishingową, scenariusz vishingu czy fałszywą stronę phishingową z odpowiednim językiem. Ważne jest, by korzystać z tych możliwości odpowiedzialnie. Poniżej kilka promptów związanych z socjotechniką:

Gotowe prompty (Analiza phishingu / Socjotechnika):

Zaprojektuj krótką kampanię phishingową na potrzeby szkolenia – np. e-mail do pracowników HR z prośbą o pilne otwarcie załącznika z CV kandydata. Podaj, jakie wnioski powinniśmy wyciągnąć, gdy część osób da się nabrać.

Stwórz scenariusz testu Red Team polegającego na tzw. USB drop – tj. podłożeniu zainfekowanych pendrive’ów na parkingu firmy. Opisz, co ma się wydarzyć, gdy pracownik podniesie i podłączy taki nośnik (np. uruchomienie payloadu, alert do ćwiczących Blue Team itd.).

Wyjaśnij, na czym polega atak socjotechniczny typu pretexting i podaj przykład takiego ataku w środowisku korporacyjnym.

Generuj listę wskazówek dla pracowników: Jak rozpoznać phishing? – np. sprawdzaj domenę nadawcy, unikaj klikania w linki w nieoczekiwanych mailach, weryfikuj prośby o podanie danych logowania u źródła itp.

Mam e-mail od nieznanego nadawcy z załącznikiem PDF zatytułowanym 'Faktura_12345'. Poprowadź analizę tego załącznika: co powinienem sprawdzić (np. czy PDF zawiera aktywne skrypty, czy próbuje łączyć się z zewnętrznym serwerem) i czy jest bezpieczny do otwarcia.

Wygeneruj treść strony phishingowej podszywającej się pod firmowy portal logowania Office 365. Uwzględnij typowe elementy (logo Microsoft, pola logowania) oraz komunikat zachęcający do pilnego zalogowania z powodu 'nietypowej aktywności'.

Stwórz scenariusz rozmowy telefonicznej (skript) dla ćwiczeń z vishingu: Oszust dzwoni do pracownika udając członka zespołu IT i próbuje nakłonić go do zresetowania hasła na fałszywej stronie.

Wydobądź wszystkie URL oraz adresy e-mail z załączonego tekstu podejrzanej wiadomości. Następnie dla każdego URL oceń, czy wygląda na legitny (np. domena oficjalna), czy podejrzany (podobna domena do prawdziwej, nietypowy TLD itp.).

Mam podejrzaną wiadomość SMS rzekomo od banku. Oceń prawdopodobieństwo, że to smishing i wypisz, jakie czerwone flagi znajdujesz w treści SMS-a.

Przeanalizuj poniższą wiadomość e-mail (treść, nagłówki) i określ, czy jest to phishing. Wskaż elementy, które o tym świadczą – np. podejrzany adres nadawcy, błędy językowe, nietypowy link.

Inne przydatne prompty dla analityków, inżynierów, menedżerów

Na koniec – garść różnorodnych promptów, które nie mieszczą się w powyższych kategoriach, a mogą ułatwić życie w obszarze bezpieczeństwa IT. Obejmują one przydatne pytania i polecenia zarówno dla analityków SOC, inżynierów bezpieczeństwa, jak i menedżerów zarządzających zespołami. Od tworzenia procedur po komunikację z zarządem – oto uniwersalny zestaw:

Przygotuj listę kontrolną konfiguracji bezpiecznej sieci Wi-Fi w biurze. Punkty powinny obejmować: silne hasło WPA3, oddzielenie sieci gościnnej, wyłączenie WPS, regularne aktualizacje firmware punktów dostępowych, monitorowanie nieautoryzowanych urządzeń itp.

Zaproponuj metodologię oceny ryzyka cyberbezpieczeństwa dla nowego projektu IT w naszej firmie. Wymień kroki: identyfikacja zasobów i zagrożeń, analiza prawdopodobieństwa i wpływu, macierz ryzyka, planowanie działań mitygujących.

Opisz proces threat huntingu od podstaw dla nowego członka zespołu: jak powinien sformułować hipotezę, jakie dane zebrać (logi systemowe, sieciowe), z jakich narzędzi skorzystać (SIEM, skanery), jak dokumentować wyniki.

Mam zamiar wdrożyć w firmie uwierzytelnianie biometryczne (odciski palca) zamiast haseł dla wybranych aplikacji. Wypisz potencjalne zagrożenia i wyzwania związane z biometrią (np. odciski palca mogą zostać skradzione jako dane, brak możliwości zmiany jak hasła) oraz jak je zaadresować.

Napisz komunikat do wszystkich pracowników przypominający o polityce czystego biurka i ekranu. Ma być krótki, uprzejmy, zaznaczający znaczenie zabezpieczania dokumentów i wylogowywania się z komputerów przed opuszczeniem stanowiska.

Napisz komunikat do wszystkich pracowników przypominający o polityce czystego biurka i ekranu. Ma być krótki, uprzejmy, zaznaczający znaczenie zabezpieczania dokumentów i wylogowywania się z komputerów przed opuszczeniem stanowiska.

Stwórz szablon codziennego raportu Threat Intelligence dla naszej organizacji. Powinien zawierać sekcje: nowe podatności (CVE) z oceną krytyczności, obserwowane kampanie ataków (czy dotyczą naszej branży), oraz rekomendacje działań na dziś.

Podaj listę 5 narzędzi open-source do testów bezpieczeństwa aplikacji (SAST/DAST) wraz z krótkim opisem ich funkcji. Które z nich poleciłbyś zintegrować w naszym CI/CD i dlaczego?

Przygotuj zrozumiałe dla zarządu podsumowanie stanu bezpieczeństwa firmy za ostatni kwartał – uwzględnij najważniejsze statystyki (liczba incydentów, ich kategorie), osiągnięcia zespołu (wdrożone usprawnienia) oraz największe ryzyka na horyzoncie.

Zaproponuj zestaw dashboardów i metryk bezpieczeństwa do monitorowania na co dzień (np. liczba zablokowanych ataków IPS, średni czas reakcji na incydent, % pokrycia hostów aktualizacjami). Wyjaśnij, dlaczego te wskaźniki są istotne.

Otrzymaliśmy zgłoszenie o nietypowej aktywności na stacji roboczej prezesa firmy. Pomóż mi stworzyć checklistę kroków do weryfikacji incydentu na tej stacji – co powinienem sprawdzić lokalnie (procesy, usługi, autostart, logi), zanim eskaluję sprawę dalej.

Podsumowanie

Sztuczna inteligencja w postaci modeli językowych to potężne wsparcie dla specjalistów bezpieczeństwa – jednak by w pełni wykorzystać jej potencjał, warto przestrzegać kilku zasad. Po pierwsze, kontekst jest kluczowy. Precyzyjnie określ swoją rolę, zadanie i oczekiwania wobec AI już w pierwszym promptcie. Na przykład: „Jestem analitykiem SOC w firmie finansowej, a Ty jesteś moim asystentem. Pomóż mi w [zadanie] dla [odbiorcy].” – takie ustawienie sceny zwiększy trafność odpowiedzi.

Po drugie, bądź konkretny – im wyraźniej sformułujesz pytanie czy polecenie (np. podając format oczekiwanej odpowiedzi, kontekst techniczny), tym lepszy rezultat. Po trzecie, weryfikuj i koryguj. Model AI może się mylić lub halucynować – nigdy nie ufaj bezkrytycznie wygenerowanym treściom. Zawsze sprawdź wygenerowany kod czy poradę zanim wdrożysz ją w środowisku produkcyjnym. Jeśli odpowiedź wydaje się niepełna lub niejasna – przeformułuj prompt lub poproś o doprecyzowanie. Po czwarte, zadbaj o prywatność i etykę. Unikaj wprowadzania do publicznego modelu wrażliwych danych swojej firmy, a korzystając z AI do ofensywnych celów upewnij się, że działasz w ramach uprawnień.

Na koniec, pamiętaj że tworzenie własnych promptów to proces twórczy: eksperymentuj, dostosowuj i ucz się na błędach. Mamy nadzieję, że powyższy przewodnik – wraz z ponad setką przykładów – zainspirował Cię do usprawnienia swojej pracy z pomocą AI. Powodzenia w bezpiecznym korzystaniu z promptów i nieustannym doskonaleniu obrony przed cyberzagrożeniami! (regenerowanie odpowiedzi i iteracja promptów często prowadzi do lepszych rozwiązań).