聚焦:ChatGPT 成黑客編寫惡意軟件「利」器
來(lái)源:36kr時(shí)間:2023-01-16 17:52:13
自 ChatGPT 推出以來(lái)����,引發(fā)了科技圈的廣泛關(guān)注���,但也有許多研究人員擔(dān)心生成式 AI 在將 AI 平民化的同時(shí)也會(huì)將使網(wǎng)絡(luò)犯罪大眾化。
這種擔(dān)心不無(wú)道理�����,在某些黑客論壇���,安全研究人員觀察到有人使用 ChatGPT 寫惡意代碼的現(xiàn)象。
近期��,一個(gè)名為《ChatGPT – Benefits of Malware》的帖子出現(xiàn)在某個(gè)熱門地下黑客論壇上����,該帖子的發(fā)布者透露,他正在試驗(yàn)用 ChatGPT 重構(gòu)常見(jiàn)的惡意軟件�。
(資料圖片)
安全研究人員表示��,目前用 ChatGPT 開發(fā)的惡意程序都相當(dāng)簡(jiǎn)單����,但更復(fù)雜程序的出現(xiàn)只是時(shí)間問(wèn)題�����。
ChatGPT�����,犯罪分子用了都說(shuō)好
2022 年 11 月底�,ChatGPT 一經(jīng)發(fā)布,除了引起人們對(duì)人工智能新用途的興趣�,也為現(xiàn)代網(wǎng)絡(luò)安全增加了一些挑戰(zhàn)。從網(wǎng)絡(luò)安全的角度來(lái)看���,ChatGPT 的誕生所帶來(lái)的主要挑戰(zhàn)是�����,技術(shù)小白都可以根據(jù)需要編寫代碼來(lái)生成惡意軟件和勒索軟件����。
盡管 ChatGPT 條款禁止將其用于非法或惡意目的,但有技巧的使用者可以毫不費(fèi)力地調(diào)整他們的請(qǐng)求來(lái)繞過(guò)這些限制�。
前文提到,有人以《ChatGPT – Benefits of Malware》為題描述了使用 ChatGPT 重新創(chuàng)造常見(jiàn)的惡意程序�����。
文中有兩個(gè)例子��。他分享了一個(gè)基于 Python 的竊取器的代碼���,該竊取器會(huì)搜索常見(jiàn)文件類型并將它們復(fù)制到 Temp 文件夾里的一個(gè)隨機(jī)文件夾中�,壓縮并將其上傳到硬編碼的 FTP 服務(wù)器��。
第二個(gè)示例則是一個(gè)簡(jiǎn)單的 Java 片段����。它下載了一個(gè)非常常見(jiàn)的 SSH 和 telnet 客戶端“PuTTY”,并用 Powershell 在系統(tǒng)上秘密運(yùn)行它�����,使用者可以修改此腳本用來(lái)下載和運(yùn)行任何程序�,包括常見(jiàn)的惡意軟件系列。
同時(shí)���,安全公司 Check Point Research(CPR )在對(duì)幾個(gè)主要地下黑客社區(qū)進(jìn)行分析后發(fā)現(xiàn)�����,已經(jīng)有一批網(wǎng)絡(luò)犯罪分子在使用 OpenAI 開發(fā)惡意工具�,并在博客中展示了以下幾類利用 ChatGPT 犯罪的例子����。
創(chuàng)建加密工具
名叫 USDoD 的黑客發(fā)布了一個(gè) Python 腳本用來(lái)執(zhí)行加密操作。離譜的是����,這是他創(chuàng)建的第一個(gè)腳本,側(cè)面映證了小白真的可以利用ChatGPT寫惡意軟件�。該腳本實(shí)際上是不同簽名、加密和解密功能的大雜燴�,雖然所有上述代碼看似良性,有心之人如果對(duì)腳本和語(yǔ)法進(jìn)行簡(jiǎn)單修改�,它可能會(huì)變成勒索軟件。
UsDoD 不是開發(fā)人員并且技術(shù)技能有限�����,但他在地下社區(qū)中非常活躍且享有盛譽(yù)�����,早被美國(guó)國(guó)防部盯上了�。一名網(wǎng)絡(luò)犯罪分子評(píng)論他的代碼風(fēng)格類似于OpenAI 代碼,后來(lái)美國(guó)國(guó)防部也證實(shí)了 OpenAI 給了他很好的“幫助”����,讓他很好地完成了腳本。
網(wǎng)絡(luò)欺詐與黑色交易
在“濫用 ChatGPT 以創(chuàng)建暗網(wǎng)市場(chǎng)腳本”的討論中��,有網(wǎng)絡(luò)罪犯向大家展示了使用 ChatGPT 創(chuàng)建暗網(wǎng)市場(chǎng)是多么容易��。該市場(chǎng)在地下非法經(jīng)濟(jì)中的主要作用是為非法或被盜商品(如被盜賬戶或支付卡���、惡意軟件����,甚至毒品和彈藥)的自動(dòng)交易提供平臺(tái)�����,且所有付款均以加密貨幣進(jìn)行��,是構(gòu)建犯罪的橋梁����。
在野網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)犯罪分子還可以利用 AI 技術(shù)來(lái)增加在野網(wǎng)絡(luò)釣魚威脅的數(shù)量,只需成功一次就可能引發(fā)大規(guī)模數(shù)據(jù)泄露����,造成數(shù)百萬(wàn)美元的經(jīng)濟(jì)損失和無(wú)法挽回的聲譽(yù)損失。
對(duì) ChatGPT 的安全測(cè)試
此外����,一些安全研究人員已經(jīng)開始測(cè)試 ChatGPT 生成惡意代碼的能力。例如��,Picus Security 的安全研究員和聯(lián)合創(chuàng)始人 Suleyman Ozarslan 博士����,他最近不僅使用 ChatGPT 創(chuàng)建了網(wǎng)絡(luò)釣魚活動(dòng),還為 MacOS 創(chuàng)建了勒索軟件����。
“我輸入了一個(gè)提示,要求其寫一封世界杯主題的電子郵件���,用于網(wǎng)絡(luò)釣魚模擬�,結(jié)果它在短短幾秒鐘內(nèi)就用完美的英文創(chuàng)建完成了一封?�!監(jiān)zarslan 表示�,雖然ChatGPT 意識(shí)到釣魚攻擊可以用于惡意目的,并可能對(duì)個(gè)人和企業(yè)造成傷害���,但它仍然生成了這封電子郵件�。
關(guān)于此類電子郵件的風(fēng)險(xiǎn)�,電子郵件安全提供商 IRONSCALES 的研發(fā)副總裁 Lomy Ovadia 表示,“在網(wǎng)絡(luò)安全方面�����,ChatGPT 可以為攻擊者提供比目標(biāo)更多的東西�����。對(duì)于商業(yè)電子郵件(BEC)來(lái)說(shuō)尤其如此��,這種攻擊依賴于使用欺騙性內(nèi)容來(lái)冒充同事�����、公司 VIP��、供應(yīng)商甚至客戶?!?/p>
AI 不會(huì)停下前進(jìn)的步伐
雖然安全團(tuán)隊(duì)也可以將 ChatGPT 用于防御目的,例如測(cè)試代碼�����,但其降低了網(wǎng)絡(luò)攻擊的進(jìn)入門檻���,無(wú)疑會(huì)進(jìn)一步加劇威脅。
但它也提供了一些積極的用例?��,F(xiàn)在有很多道德黑客正在使用現(xiàn)有的人工智能技術(shù)來(lái)幫助編寫漏洞報(bào)告�����,生成代碼樣本�,并識(shí)別大型數(shù)據(jù)集的趨勢(shì)�。
要讓人工智能發(fā)揮積極作用,還需要人力監(jiān)督以及進(jìn)行一些手動(dòng)配置�,不能總是依靠絕對(duì)最新的數(shù)據(jù)和情報(bào)來(lái)運(yùn)行和訓(xùn)練。
ChatGPT 還很年輕�,聊天機(jī)器人是當(dāng)下 AI 最火的分支之一,前景廣闊���,AI 的世界也不會(huì)因?yàn)楹ε嘛L(fēng)險(xiǎn)而停下腳步�。
參考來(lái)源:
https://www.solidot.org/story?sid=73838
https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/
https://news.cnyes.com/news/id/5058514
關(guān)鍵詞:
惡意軟件
電子郵件
研究人員
