自 ChatGPT 推出以来,引发了科技圈的广泛关注,但也有许多研究人员担心生成式 AI 在将 AI 平民化的同时也会将使网络犯罪大众化。
这种担心不无道理,在某些黑客论坛,安全研究人员观察到有人使用 ChatGPT 写恶意代码的现象。
近期,一个名为《ChatGPT – Benefits of Malware》的帖子出现在某个热门地下黑客论坛上,该帖子的发布者透露,他正在试验用 ChatGPT 重构常见的恶意软件。
安全研究人员表示,目前用 ChatGPT 开发的恶意程序都相当简单,但更复杂程序的出现只是时间问题。
ChatGPT,犯罪分子用了都说好
2022 年 11 月底,ChatGPT 一经发布,除了引起人们对人工智能新用途的兴趣,也为现代网络安全增加了一些挑战。从网络安全的角度来看,ChatGPT 的诞生所带来的主要挑战是,技术小白都可以根据需要编写代码来生成恶意软件和勒索软件。
尽管 ChatGPT 条款禁止将其用于非法或恶意目的,但有技巧的使用者可以毫不费力地调整他们的请求来绕过这些限制。
前文提到,有人以《ChatGPT – Benefits of Malware》为题描述了使用 ChatGPT 重新创造常见的恶意程序。
文中有两个例子。他分享了一个基于 Python 的窃取器的代码,该窃取器会搜索常见文件类型并将它们复制到 Temp 文件夹里的一个随机文件夹中,压缩并将其上传到硬编码的 FTP 服务器。
第二个示例则是一个简单的 Java 片段。它下载了一个非常常见的 SSH 和 telnet 客户端 “PuTTY”,并用 Powershell 在系统上秘密运行它,使用者可以修改此脚本用来下载和运行任何程序,包括常见的恶意软件系列。
同时,安全公司 Check Point Research(CPR )在对几个主要地下黑客社区进行分析后发现,已经有一批网络犯罪分子在使用 OpenAI 开发恶意工具,并在博客中展示了以下几类利用 ChatGPT 犯罪的例子。
创建加密工具
名叫 USDoD 的黑客发布了一个 Python 脚本用来执行加密操作。离谱的是,这是他创建的第一个脚本,侧面映证了小白真的可以利用 ChatGPT 写恶意软件。该脚本实际上是不同签名、加密和解密功能的大杂烩,虽然所有上述代码看似良性,有心之人如果对脚本和语法进行简单修改,它可能会变成勒索软件。
UsDoD 不是开发人员并且技术技能有限,但他在地下社区中非常活跃且享有盛誉,早被美国国防部盯上了。一名网络犯罪分子评论他的代码风格类似于OpenAI 代码,后来美国国防部也证实了 OpenAI 给了他很好的“帮助” ,让他很好地完成了脚本。
网络欺诈与黑色交易
在“滥用 ChatGPT 以创建暗网市场脚本”的讨论中,有网络罪犯向大家展示了使用 ChatGPT 创建暗网市场是多么容易。该市场在地下非法经济中的主要作用是为非法或被盗商品(如被盗账户或支付卡、恶意软件,甚至毒品和弹药)的自动交易提供平台,且所有付款均以加密货币进行,是构建犯罪的桥梁。
在野网络钓鱼
网络犯罪分子还可以利用 AI 技术来增加在野网络钓鱼威胁的数量,只需成功一次就可能引发大规模数据泄露,造成数百万美元的经济损失和无法挽回的声誉损失。
对 ChatGPT 的安全测试
此外,一些安全研究人员已经开始测试 ChatGPT 生成恶意代码的能力。例如,Picus Security 的安全研究员和联合创始人 Suleyman Ozarslan 博士,他最近不仅使用 ChatGPT 创建了网络钓鱼活动,还为 MacOS 创建了勒索软件。
“我输入了一个提示,要求其写一封世界杯主题的电子邮件,用于网络钓鱼模拟,结果它在短短几秒钟内就用完美的英文创建完成了一封。”Ozarslan 表示,虽然ChatGPT 意识到钓鱼攻击可以用于恶意目的,并可能对个人和企业造成伤害,但它仍然生成了这封电子邮件。
关于此类电子邮件的风险,电子邮件安全提供商 IRONSCALES 的研发副总裁 Lomy Ovadia 表示,“在网络安全方面,ChatGPT 可以为攻击者提供比目标更多的东西。对于商业电子邮件(BEC)来说尤其如此,这种攻击依赖于使用欺骗性内容来冒充同事、公司 VIP、供应商甚至客户。”
AI 不会停下前进的步伐
虽然安全团队也可以将 ChatGPT 用于防御目的,例如测试代码,但其降低了网络攻击的进入门槛,无疑会进一步加剧威胁。
但它也提供了一些积极的用例。现在有很多道德黑客正在使用现有的人工智能技术来帮助编写漏洞报告,生成代码样本,并识别大型数据集的趋势。
要让人工智能发挥积极作用,还需要人力监督以及进行一些手动配置,不能总是依靠绝对最新的数据和情报来运行和训练。
ChatGPT 还很年轻,聊天机器人是当下 AI 最火的分支之一,前景广阔,AI 的世界也不会因为害怕风险而停下脚步。