自去年 11 月首次亮相以来,ChatGPT 已成为互联网新宠。 AI 驱动的自然语言处理工具迅速积累了超过 100 万用户,他们使用基于网络的聊天机器人进行从生成婚礼致辞和嘻哈歌词到撰写学术论文和编写计算机代码的所有事情。
ChatGPT 的类人能力不仅席卷了互联网,而且还让许多行业处于边缘: 纽约的一所学校因担心它可能被用来作弊而禁止使用 ChatGPT ,撰稿人已经被替换,并且报告声称谷歌对 ChatGPT 的能力非常震惊,以至于发布了“红色代码”以确保公司搜索业务的生存。
由于担心 ChatGPT 可能被资源有限和技术知识为零的黑客滥用,网络安全行业——一个长期以来一直对现代人工智能的潜在影响持怀疑态度的社区——似乎也开始注意到这一点。
在 ChatGPT 首次亮相几周后,以色列网络安全公司 Check Point展示了基于网络的聊天机器人在与 OpenAI 的代码编写系统 Codex 结合使用时如何创建能够携带恶意负载的网络钓鱼电子邮件。 Check Point 威胁情报小组经理 Sergey Shykevich 告诉 TechCrunch,他认为这样的用例表明 ChatGPT 有“显着改变网络威胁格局的潜力”,并补充说它代表“在日益复杂和有效的危险演变中又向前迈进了一步”网络能力。”
TechCrunch 也能够使用聊天机器人生成看似合法的网络钓鱼电子邮件。当我们第一次要求 ChatGPT 制作网络钓鱼电子邮件时,聊天机器人拒绝了该请求。 “我没有被编程来创建或推广恶意或有害内容,”提示吐槽。但是稍微重写请求可以让我们轻松绕过软件的内置防护栏。
TechCrunch 采访的许多安全专家认为,ChatGPT 能够编写听起来合法的网络钓鱼电子邮件(勒索软件的主要攻击媒介),聊天机器人将被网络犯罪分子广泛接受,尤其是那些母语不是英语的人。
Sophos 的首席研究科学家 Chester Wisniewski 表示,很容易看到 ChatGPT 被滥用于“各种社会工程攻击”,肇事者希望以更有说服力的美式英语写作。
“在基本层面上,我已经能够用它编写一些很棒的网络钓鱼诱饵,我希望它可以用于进行更真实的交互式对话,以应对商业电子邮件泄露,甚至攻击 Facebook Messenger、WhatsApp 或其他聊天应用程序, ” Wisniewski 告诉 TechCrunch。
“实际上,获取并使用恶意软件只是成为底层网络犯罪分子的一小部分。” Grugq,安全研究员
聊天机器人可以编写令人信服的文本和逼真的交互的想法并不牵强。 “例如,你可以指示 ChatGPT 假装是全科医生手术,它会在几秒钟内生成逼真的文本,”Darktrace 威胁研究负责人 Hanah Darley 告诉 TechCrunch。 “不难想象威胁行为者如何将其用作力量倍增器。”
Check Point 最近还对聊天机器人明显具有帮助网络犯罪分子编写恶意代码的能力发出了警告。研究人员表示,他们目睹了至少三个没有技术技能的黑客吹嘘他们如何利用 ChatGPT 的 AI 智能进行恶意目的的实例。暗网论坛上的一名黑客展示了由 ChatGPT 编写的代码,据称这些代码窃取了感兴趣的文件,将它们压缩并通过网络发送。另一位用户发布了一个 Python 脚本,他们声称这是他们创建的第一个脚本。 Check Point 指出,虽然代码看起来是良性的,但它可以“很容易地被修改以完全加密某人的机器而无需任何用户交互。” Check Point 表示,同一论坛用户之前出售了对被黑客攻击的公司服务器的访问权和被盗数据。
这有多难?
安全研究员兼 Picus Security 的联合创始人 Suleyman Ozarslan 博士最近向 TechCrunch 展示了如何使用 ChatGPT 编写以世界杯为主题的网络钓鱼诱饵并编写以 macOS 为目标的勒索软件代码。 Ozarslan 要求聊天机器人为 Swift 编写代码,Swift 是用于为 Apple 设备开发应用程序的编程语言,它可以在 MacBook 上找到 Microsoft Office 文档,并通过加密连接将它们发送到 Web 服务器,然后再对 MacBook 上的 Office 文档进行加密.
“我毫不怀疑 ChatGPT 和其他类似工具将使网络犯罪大众化,”Ozarslan 说。 “人们已经可以在暗网上购买勒索软件代码,这已经够糟糕了,现在几乎任何人都可以自己创建它。”
不出所料,有关 ChatGPT 能够编写恶意代码的消息令整个行业都皱起了眉头。还看到一些专家开始揭穿人工智能聊天机器人可能将想成为黑客的人变成成熟的网络犯罪分子的担忧。在Mastodon 上的一篇帖子中,独立安全研究员 The Grugq 嘲笑了 Check Point 的说法,即 ChatGPT 将“对不擅长编码的网络罪犯进行超级收费”。
“他们必须注册域名并维护基础设施。他们需要用新内容更新网站,并测试勉强能用的软件在略有不同的平台上继续勉强能用。他们需要监控其基础设施的健康状况,并检查新闻中发生的事情,以确保他们的活动不会出现在一篇关于“前 5 名最令人尴尬的网络钓鱼 phails”的文章中,”The Grugq 说。 “实际上,获取并使用恶意软件只是成为底层网络犯罪分子的一小部分。”
一些人认为,ChatGPT 编写恶意代码的能力是有结果的。
“防御者可以使用 ChatGPT 生成代码来模拟对手,甚至可以自动执行任务以简化工作。它已经被用于各种令人印象深刻的任务,包括个性化教育、起草报纸文章和编写计算机代码,”F-Secure 的威胁情报负责人 Laura Kankaala 说。 “但是,应该注意的是,完全信任 ChatGPT 生成的文本和代码的输出可能是危险的——它生成的代码可能存在安全问题或漏洞。生成的文本也可能存在明显的事实错误,”Kankaala 补充道,并对 ChatGPT 生成的代码的可靠性提出了质疑。
ESET 的 Jake Moore 表示,随着技术的发展,“如果 ChatGPT 从其输入中学到足够多的知识,它可能很快就能即时分析潜在的攻击并提出积极的建议来增强安全性。”
对于 ChatGPT 将在未来的网络安全中扮演什么角色,存在冲突的不仅仅是安全专家。我们也很想知道当我们向聊天机器人提出问题时,ChatGPT 会说些什么。
“很难准确预测 ChatGPT 或任何其他技术在未来将如何使用,因为这取决于它的实施方式以及使用它的人的意图,”聊天机器人回答道。 “最终,ChatGPT 对网络安全的影响将取决于它的使用方式。重要的是要意识到潜在的风险并采取适当的措施来减轻它们。”
ChatGPT 是网络安全威胁吗?作者: Carly Page最初发表于TechCrunch
原文: https://techcrunch.com/2023/01/11/chatgpt-cybersecurity-threat/