ChatGPT 成黑客编写恶意软件「利」器!
点击图片,查看图书详情
| CSDN(ID:CSDNnews)
自 ChatGPT 推出以来,引发了科技圈的广泛关注,但也有许多研究人员担心生成式 AI 在将 AI 平民化的同时也会将使网络犯罪大众化。
这种担心不无道理,在某些黑客论坛,安全研究人员观察到有人使用 ChatGPT 写恶意代码的现象。
近期,一个名为《 ChatGPT – Benefits of Malware》的帖子出现在某个热门地下黑客论坛上,该帖子的发布者透露,他正在试验用 ChatGPT 重构常见的恶意软件。
安全研究人员表示,目前用 ChatGPT 开发的恶意程序都相当简单,但更复杂程序的出现只是时间问题。
ChatGPT,犯罪分子用了都说好
2022 年 11 月底,ChatGPT 一经发布,除了引起人们对人工智能新用途的兴趣,也为现代网络安全增加了一些挑战。从网络安全的角度来看,ChatGPT 的诞生所带来的主要挑战是,技术小白都可以根据需要编写代码来生成恶意软件和勒索软件。
尽管 ChatGPT 条款禁止将其用于非法或恶意目的,但有技巧的使用者可以毫不费力地调整他们的请求来绕过这些限制。
前文提到,有人以《ChatGPT – Benefits of Malware》为题描述了使用 ChatGPT 重新创造常见的恶意程序。
文中有两个例子。他分享了一个基于 Python 的窃取器的代码,该窃取器会搜索常见文件类型并将它们复制到 Temp 文件夹里的一个随机文件夹中,压缩并将其上传到硬编码的 FTP 服务器。
第二个示例则是一个简单的 Java 片段。它 下载了一个非常常见的 SSH 和 telnet 客户端 “ PuTTY”,并用 Powershell 在系统上秘密运行它,使用者可以修改此脚本用来下载和运行任何程序,包括常见的恶意软件系列。
同时,安全公司 Check Point Research(CPR )在对几个主要地下黑客社区进行分析后发现,已经有一批网络犯罪分子在使用 OpenAI 开发恶意工具,并在博客中展示了以下几类利用 ChatGPT 犯罪的例子。
创建加密工具 名叫 USDoD 的黑客发布了一个 Python 脚本用来执行加密操作。离谱的是,这是他创建的第一个脚本,侧面映证了小白真的可以利用 ChatGPT 写恶意软件。该脚本实际上是不同签名、加密和解密功能的大杂烩,虽然所有上述代码看似良性,有心之人如果对脚本和语法进行简单修改,它可能会变成勒索软件。 UsDoD 不是开发人员并且技术技能有限,但他在地下社区中非常活跃且享有盛誉,早被美国国防部盯上了。一名网络犯罪分子评论他的代码风格类似于OpenAI 代码,后来美国国防部也证实了 OpenAI 给了他很好的“ 帮助 ” ,让他很好地完成了脚本。
网络欺诈与黑色交易 在“滥用 ChatGPT 以创建暗网市场脚本”的讨论中,有网络罪犯向大家展示了使用 ChatGPT 创建暗网市场是多么容易。该市场在地下非法经济中的主要作用是为非法或被盗商品(如被盗账户或支付卡、恶意软件,甚至毒品和弹药)的自动交易提供平台,且所有付款均以加密货币进行,是构建犯罪的桥梁。
在野网络钓鱼 网络犯罪分子还可以利用 AI 技术来增加在野网络钓鱼威胁的数量,只需成功一次就可能引发大规模数据泄露,造成数百万美元的经济损失和无法挽回的声誉损失。
对 ChatGPT 的安全测试
此外,一些安全研究人员已经开始测试 ChatGPT 生成恶意代码的能力。例如,Picus Security 的安全研究员和联合创始人 Suleyman Ozarslan 博士,他最近不仅使用 ChatGPT 创建了网络钓鱼活动,还为 MacOS 创建了勒索软件。
“我输入了一个提示,要求其写一封世界杯主题的电子邮件,用于网络钓鱼模拟,结果它在短短几秒钟内就用完美的英文创建完成了一封。”Ozarslan 表示,虽然ChatGPT 意识到钓鱼攻击可以用于恶意目的,并可能对个人和企业造成伤害,但它仍然生成了这封电子邮件。
关于此类电子邮件的风险,电子邮件安全提供商 IRONSCALES 的研发副总裁 Lomy Ovadia 表示,“在网络安全方面,ChatGPT 可以为攻击者提供比目标更多的东西。对于商业电子邮件( BEC)来说尤其如此,这种攻击依赖于使用欺骗性内容来冒充同事、公司 VIP、供应商甚至客户。”
AI 不会停下前进的步伐
虽然安全团队也可以将 ChatGPT 用于防御目的,例如测试代码,但其降低了网络攻击的进入门槛,无疑会进一步加剧威胁。
要让人工智能发挥积极作用,还需要人力监督以及进行一些手动配置,不能总是依靠绝对最新的数据和情报来运行和训练。
ChatGPT 还很年轻,聊天机器人是当下 AI 最火的分支之一,前景广阔,AI 的世界也不会因为害怕风险而停下脚步。
参考来源:
/
特别推荐
点击图片,查看详情
会员单位可以参与以下的项目:
(1)“中国计算机实践教育联合会”会员单位都会被授予正式牌匾。
(2)会员单位可以参与每年论坛的会议征文(择优发表到《计算机教育》或者《实验技术与管理》(中文核心期刊)》上)
(3)会员单位可以参与每年论坛的案例征集评选活动(颁发证书)
(4)会员单位可以申报“国家级实验教学示范中心联席会计算机学科组规划教材”和“国家级实验教学示范中心联席会计算机学科组‘十四五’规划教材”
点「在看」的人都变好看了哦!
我告诉你msdn版权声明:以上内容作者已申请原创保护,未经允许不得转载,侵权必究!授权事宜、对本内容有异议或投诉,敬请联系网站管理员,我们将尽快回复您,谢谢合作!
