首頁  >  文章  >  科技週邊  >  ChatGPT 在網路安全領域是把雙面刃

ChatGPT 在網路安全領域是把雙面刃

王林
王林轉載
2023-04-07 14:57:071671瀏覽

ChatGPT 是一個人工智慧驅動的原型聊天機器人,旨在幫助廣泛的用例,包括程式碼開發和除錯。它的主要吸引力之一是用戶能夠以對話方式與聊天機器人進行交互,並獲得從編寫軟體到理解複雜主題、撰寫論文和電子郵件、改善客戶服務以及測試不同業務或市場場景的所有幫助。但它也可以被用於更黑暗的目的。

自 OpenAI 發布 ChatGPT 以來,許多安全專家預測,網路犯罪分子開始使用 AI 聊天機器人編寫惡意軟體並執行其他惡意活動只是時間問題。就像所有新技術一樣,只要有足夠的時間和激勵,就會有人找到方法來利用它。僅僅幾週後,時間似乎已經到了。網路犯罪分子已經開始使用OpenAI的人工智慧聊天機器人ChatGPT來快速建立駭客工具。詐騙者也正在測試ChatGPT建構其他聊天機器人的能力,旨在冒充年輕女性誘捕目標,

事實上,Check Point Research(CPR)的研究人員報告說,至少有三個黑帽駭客在地下論壇上展示了他們如何利用ChatGPT的人工智慧智慧進行惡意攻擊。

在一個記錄在案的例子中,以色列安全公司Check Point在一個很流行的地下駭客論壇上發現了一個駭客的帖子,發文者說他正在試驗使用流行的人工智慧聊天機器人來「重新建立惡意軟體」。

ChatGPT 在网络安全领域是把双刃剑

ChatGPT 讓使用者可以提出簡單的問題或建議,例如編寫追蹤來自託管服務提供者的電子郵件

駭客將由ChatGPT產生的Android 惡意軟體壓縮後在網路上傳播。據報道,該惡意軟體能夠竊取感興趣的檔案。另一個駭客展示了另一種工具,該工具能夠在電腦上安裝了後門,並可能用更多惡意軟體感染電腦。

Check Point在對情況的評估中指出,一些駭客正在使用ChatGPT來創建他們的第一個腳本。在上述論壇中,另一位使用者分享了一段使用ChatGPT編寫的Python程式碼,可以加密受害者電腦上的檔案。雖然這些代碼可以出於無害的原因使用,但Check Point表示,「ChatGPT產生的程式碼可以在輕鬆修改後就能實現完全加密受害者電腦上的文件,而無需任何使用者互動。」。此外,還有駭客在地下論壇上發文稱,他使用ChatGPT創建了一段代碼,該代碼使用第三方API來檢索最新的加密貨幣價格,該價格用於暗網市場支付系統。

這家安全公司強調,雖然ChatGPT編碼的駭客工具看起來“非常基礎”,但“更複雜的威脅行為者增強他們使用基於人工智慧的工具的方式只是時間問題。”。美國網路安全公司Forescout的安全情報副總裁Rik Ferguson表示,ChatGPT似乎還沒有能力編寫像近年來在重大駭客事件中看到的主要勒索軟體一樣複雜的東西,例如Conti,因其用於破壞愛爾蘭國家衛生系統而臭名昭著。然而,OpenAI的工具將透過建立更基本但同樣有效的惡意軟體來降低新手進入非法市場的門檻說。

網路情報公司Hold Security的創辦人 Alex Holden)也表示,他看到約會詐騙者也開始使用ChatGPT,因為網路犯罪分子試圖創造令人信服的角色。 「他們正計劃創建聊天機器人,以冒充大多數女孩試圖實現自動化閒聊用於網絡詐騙。」

ChatGPT的開發人員已經實現了一些惡意請求過濾,可以防止AI構建間諜軟體的明顯請求。然而,在安全分析師發現使用ChatGPT後可以在沒有錯字的情況下編寫語法正確的網路釣魚電子郵件後,人工智慧聊天框受到了更多的審查。

從編寫惡意軟體到創建暗網市場

#在一個實例中,惡意軟體作者在其他網路犯罪分子所使用的論壇中披露了他如何試驗ChatGPT,看看他是否可以重現已知的惡意軟體和技術。

攻擊者成功實現的一個例子是,這個人分享了他使用ChatGPT 開發的基於Python 的信息竊取程序的代碼,該竊取程序可以搜索、複製和洩露12 種常見文件類型,例如來自受感染系統的Office 文件、PDF 和圖像。同一位惡意軟體作者也展示了他如何使用ChatGPT編寫Java程式碼來下載PuTTY SSH和telnet用戶端,並透過PowerShell在系統上秘密運行它。

另一位威脅行為者發布了他使用聊天機器人生成的 Python 腳本,用於使用 Blowfish 和 Twofish 加密演算法加密和解密資料。安全研究人員發現,儘管該程式碼可以用於完全良性的目的,但威脅行為者可以輕鬆對其進行調整,使其無需任何用戶交互即可在系統上運行 - 在此過程中使其成為勒索軟體。與資訊竊取者的作者不同,一些攻擊者的技術技能似乎非常有限,實際上聲稱他使用ChatGPT生成的Python腳本是他創建的第一個腳本。

在第三個實例中,安全研究人員發現一些網路犯罪分子正在討論他如何使用ChatGPT創建一個完全自動化的暗網市場,用於交易被盜的銀行帳戶和支付卡數據,惡意軟體工具,毒品,彈藥和各種其他非法商品。

零門檻即可產生惡意軟體

ChatGPT 在网络安全领域是把双刃剑

##自OpenAI 發布AI 工具以來,對威脅行為者濫用ChatGPT 的擔憂一直很普遍,許多安全研究人員認為聊天機器人大大降低了編寫惡意軟體的門檻。

Check Point的威脅情報組經理Sergey Shykevich重申,使用ChatGPT,惡意行為者需要沒有編碼經驗來編寫惡意軟體:「你應該知道惡意軟體或任何程式應該具有什麼功能。ChatGTP將為您編寫程式碼,以執行所需的功能。因此,短期的擔憂肯定是ChatGPT允許低技能的網路犯罪分子開發惡意軟體」Shykevich說。 「從長遠來看,我認為更複雜的網路犯罪分子也將採用ChatGPT來提高他們的活動效率,或解決他們可能存在的不同差距。」。

「從攻擊者的角度來看,人工智慧系統產生程式碼的能力允許惡意行為者透過充當語言之間的翻譯器來輕鬆彌合他們可能遇到的任何技能差距。」Horizo​​​​n3AI客戶成功經理Brad Hong補充道。這些工具提供了一種按需創建與攻擊者目標相關的程式碼範本的方法,並減少了他們搜尋Stack Overflow和Git等開發人員網站的需求。

甚至在發現威脅行為者濫用 ChatGPT 之前,Check Point 與其他一些安全供應商一樣,展示了對手如何在惡意活動中利用聊天機器人。在一篇部落格文章中,安全供應商描述了其研究人員如何僅透過要求 ChatGPT 編寫一封似乎來自虛構網站寄存服務的電子郵件來建立聽起來非常合理的網路釣魚電子郵件。研究人員也示範了他們如何讓ChatGPT編寫VBS程式碼,他們可以貼上到Excel工作簿中,以便從遠端URL下載可執行檔。

該測試的目的是展示攻擊者如何濫用 ChatGPT 等人工智慧模型來創建完整的感染鏈,從最初的魚叉式網路釣魚電子郵件到在受影響的系統上運行反向shell。

從目前的情況來看,ChatGPT 無法取代熟練的威脅行為者——至少現在還沒有。但安全研究人員表示,有許多證據已經表明ChatGPT確實有助於低技能駭客創建惡意軟體,這將持續引發大眾對網路犯罪濫用該技術的擔憂。

繞過ChatGPT 的限制

一開始,一些安全研究人員認為ChatGPT 使用者介面中的限制很弱,並發現威脅行為者可以輕鬆繞過障礙。從那以後,Shykevich表示,OpenAI一直在努力改善聊天機器人的限制。

「我們看到對ChatGPT使用者介面的限制每週都高得多。因此,現在使用ChatGPT進行惡意或濫用活動更加困難,」他說。

但是網路犯罪分子仍然可以透過使用和避免某些允許使用者繞過限制的單字或短語來濫用程式。 NCC集團商業研究總監 Matt Lewis)將與線上模式的互動稱為一種涉及計算的「藝術形式」。

「如果你避免使用惡意軟體這個詞,只是要求它向你展示加密檔案的程式碼範例,根據惡意軟體的設計原理,這就是它將要做的事情,」劉易斯說。 「它有一種喜歡被指示的方式,有一些有趣的方法可以讓它以多種不同的方式做你想讓它做的事情。」

在關於相關主題的一次演示中,Lewis展示了ChatGPT 將如何“編寫加密腳本”,儘管該腳本沒有達到完整的勒索軟體,但仍可能很危險。 「這將是一個很難解決的問題,」劉易斯談到繞過時說,並補充說,對於OpenAI來說,上下文和意圖的監管語言將非常困難。

更複雜的是,Check Point研究人員觀察到威脅行為者使用具有GPT-3模型API 的Telegram機器人,稱為text-davinci-003,而不是ChatGPT,以覆蓋聊天機器人的限制。

ChatGPT只是OpenAI模型的使用者介面。開發人員可以使用這些模型將後端模型與自己的應用程式整合。使用者透過不受限制保護的 API 使用這些模型。

「從我們所看到的情況來看,OpenAI在ChatGPT介面上設定的障礙和限制對於那些透過API使用這些模型的人並不適用。」Shykevich說。

威脅參與者也可以透過精確地向聊天機器人提示來躲避限制。自ChatGPT推出以來,Cyber​​Ark已經對其進行了測試,並發現了限制中的盲點。透過反覆堅持和要求,它將提供所需的編碼產品。 Cyber​​Ark研究人員也報告說,透過不斷詢問ChatGPT並每次渲染一段新程式碼,使用者可以創建具備高度躲避偵測的多態惡意軟體。

多型病毒可能非常危險。已經有線上工具和框架可以產生這種病毒。 ChatGPT 創建程式碼的能力對不熟練的編碼人員和腳本小子三最有益的。

就攻擊者而言,這不是一項新的能力......它也不是產生惡意軟體變種的特別有效的方法,目前已經有更好的工具。 ChatGPT 可能是一個新的工具而已,因為它允許技能較低的攻擊者產生可能危險的程式碼。

讓網路犯罪分子更難

ChatGPT 在网络安全领域是把双刃剑

#OpenAI和其他類似工具的開發人員已經安裝了過濾器和控件,並不斷改進它們,試圖限制對其技術的濫用。至少就目前而言,人工智慧工具仍然出現故障,並且容易出現許多研究人員所描述的完全錯誤,這可能會阻止一些惡意努力。即便如此,許多人預測,從長遠來看,濫用這些技術的可能性仍然很高。

Shykevich 說,為了使犯罪分子更難濫用這些技術,開發人員需要訓練和改進他們的人工智慧引擎,以識別可能以惡意方式使用的請求。他說,另一種選擇是實現身份驗證和授權要求,才能使用OpenAI引擎。他指出,即使是類似於線上金融機構和支付系統目前使用的東西也足夠了。

至於防止犯罪使用ChatGPT,Shykevich 也表示,最終,「不幸的是,必須透過監管來執行。」OpenAI 已經實施了一些控制措施,防止了ChatGPT構建帶有違反政策警告的間諜軟體的明顯請求,儘管駭客和記者已經找到了繞過這些保護措施的方法。 Shykevich也說,像OpenAI這樣的公司可能不得不在法律上被迫訓練他們的AI來檢測這種濫用行為。


本文翻譯自:https://www.techtarget.com/searchsecurity/news/365531559/How-hackers-can-abuse-ChatGPT-to-create-malware

以上是ChatGPT 在網路安全領域是把雙面刃的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:51cto.com。如有侵權,請聯絡admin@php.cn刪除