安全专家警告称,一种广受欢迎的新型人工智能机器人可能会被潜在的网络犯罪分子用来教他们如何策划攻击,甚至编写勒索软件。
上个月,人工智能研发公司OpenAI发布了ChatGPT,目前已超过100万用户。
原型聊天机器人通过在互联网上搜索大量数据,以自然语言的权威性回答问题。它甚至可以是创造性的,比如写诗。
然而,Picus Security联合创始人苏莱曼·奥扎斯兰(Suleyman Ozarslan)警告称,其毋庸置疑的才能可以用来降低初露头角的网络犯罪分子的进入门槛。
他能够使用机器人创建一个可信的世界杯钓鱼活动,甚至编写一些macOS勒索软件。尽管机器人标记网络钓鱼可能被用于恶意目的,但它仍然继续前进并生成了脚本。
此外,尽管ChatGPT被设定为不直接编写勒索软件,但Ozarslan仍然能够得到他想要的东西。
“我描述了勒索软件的战术、技术和程序,但没有直接这样的描述。这就像一台3D打印机,不会直接‘打印枪’,但如果你要求,它会很高兴地将枪管、弹匣、握把和扳机分别打印出来。”
“我告诉AI,我想用Swift编写一个软件,我想让它从我的MacBook中找到所有的Microsoft Office文件,并通过HTTPS将这些文件发送到我的Web服务器。我还想让它加密我的MacBook上的所有Microsoft Office文件并将用于解密的私钥发送给我。它向我发送了示例代码,没有任何警告消息,尽管这可能比钓鱼电子邮件更危险。”
Ozarslan表示,该机器人还编写了一个“有效的虚拟化/沙盒规避代码”,可用于帮助黑客规避检测和响应工具,以及SIGMA检测规则。
“我毫不怀疑ChatGPT和其他类似工具将使网络犯罪简单化”他总结道。
“对于OpenAI来说,显然需要重
新考虑这些工具如何被滥用。警告是不够的,OpenAI必须在检测和防止生成恶意软件和网络钓鱼活动的提示方面做得更好。"
另外,ExtraHop高级技术经理Jamie Moles也发现了同样令人担忧的结果,他请求机器人帮助制造一种类似于臭名昭著的WannaCry勒索软件蠕虫的攻击。
“我问它如何使用Metasploit来使用EternalBlue漏洞,它的回答基本上是完美的"。
“当然,Metasploit本身并不是问题所在——在被误用之前,任何工具或软件都不是天生就不好的。然而,教几乎没有技术知识的人如何使用一种如此毁灭性的利用工具可能就会导致威胁的增加,特别是来自那些被一些人称为“脚本小子”的威胁。
参考文章:https://www.infosecurity-magazine.com/news/experts-warn-chatgpt-democratize/
此处评论已关闭