从撰写电子邮件等相对简单的任务到撰写论文或编译代码等更复杂的工作,ChatGPT——来自 OpenAI 的人工智能驱动的自然语言处理工具——自推出以来一直引起了极大的兴趣。
当然,它绝不是完美的——众所周知,它会因误解所学习的信息而犯错误,但许多人将它和其他人工智能工具视为我们使用互联网的未来。
深入:这些专家正在竞相保护 AI 免受黑客攻击。 时间不多了
OpenAI 的 ChatGPT 服务条款明确禁止生成恶意软件,包括勒索软件、键盘记录器、病毒或“其他旨在造成一定程度危害的软件”。 它还禁止尝试创建垃圾邮件,以及针对网络犯罪的用例。
但与任何创新的在线技术一样,已经有人在试验如何利用 ChatGPT 达到更隐蔽的目的。
发布后不久,网络犯罪分子就在地下论坛上发布了关于如何使用 ChatGPT 来帮助促进恶意网络活动的话题,例如编写网络钓鱼电子邮件或帮助编译恶意软件。
并且有人担心骗子会尝试使用 ChatGPT 和其他人工智能工具,例如 Google Bard,作为他们努力的一部分。 虽然这些人工智能工具不会彻底改变网络攻击,但它们仍然可以帮助网络犯罪分子——即使是在无意中——更有效地进行恶意活动。
“我认为,至少在短期内,ChatGPT 不会创造出全新的攻击类型。重点将是使他们的日常运营更具成本效益,”威胁情报小组 Sergey Shykevich 说 网络安全公司 Check Point 的经理。
网络钓鱼攻击是恶意黑客攻击和欺诈活动中最常见的组成部分。 无论攻击者是发送电子邮件来分发恶意软件、网络钓鱼链接,还是被用来说服受害者转账,电子邮件都是最初胁迫的关键工具。
对电子邮件的依赖意味着帮派需要源源不断的清晰可用的内容。 在许多情况下——尤其是网络钓鱼——攻击者的目的是说服人们做某事,例如转账。 幸运的是,许多此类网络钓鱼尝试现在很容易被识别为垃圾邮件。 但是高效的自动撰稿人可以使这些电子邮件更具吸引力。
网络犯罪是一个全球性行业,各个国家/地区的犯罪分子都会向世界各地的潜在目标发送网络钓鱼电子邮件。 这意味着语言可能是一个障碍,特别是对于更复杂的鱼叉式网络钓鱼活动而言,这些活动依赖于受害者相信他们正在与可信赖的联系人交谈 – 如果电子邮件已满,有人不太可能相信他们正在与同事交谈 异常的拼写和语法错误或奇怪的标点符号。
但如果 AI 被正确利用,聊天机器人可以用来用攻击者想要的任何语言为电子邮件编写文本。
“俄罗斯网络罪犯的最大障碍是语言——英语,”Shykevich 说。 “他们现在聘请在俄罗斯大学学习英语的毕业生为网络钓鱼电子邮件撰写文章并在呼叫中心工作——他们必须为此付费。”
他继续说道:“ChatGPT 之类的东西可以为他们节省大量创建各种不同网络钓鱼消息的费用。它可以改善他们的生活。我认为这就是他们寻求的途径。”
理论上,存在旨在防止滥用的保护措施。 例如,ChatGPT 要求用户注册一个电子邮件地址,还需要一个电话号码来验证注册。
虽然 ChatGPT 将拒绝编写网络钓鱼电子邮件,但可以要求它为其他消息制作电子邮件模板,这些消息通常被网络攻击者利用。 这种努力可能包括诸如声称提供年度奖金、必须下载并安装重要软件更新或需要紧急查看附加文档等消息。
“制作一封电子邮件以说服某人点击链接以获得类似会议邀请的东西——这非常好,如果你的母语不是英语,这看起来真的很棒,”Adam Meyers 说,他是高级副总裁 Crowdstrike 的情报,Crowdstrike 是一家网络安全和威胁情报提供商。
“你可以让它创建一个精心设计、语法正确的邀请,如果你不是以英语为母语的人,你就不一定能做到这一点。”
但是滥用这些工具并不仅仅限于电子邮件; 犯罪分子可以使用它来帮助为任何基于文本的在线平台编写脚本。 对于运行诈骗的攻击者,甚至是试图进行间谍活动的高级网络威胁组织,这可能是一个有用的工具——特别是对于创建虚假的社交资料来吸引人们。
“如果你想为 LinkedIn 生成看似可信的商业废话,让你看起来像是一个试图建立联系的真正的商人,ChatGPT 非常适合,”cloud- 的网络安全专家兼高级首席产品技术专家 Kelly Shortridge 说。 计算提供商 Fastly。
各种黑客组织试图利用 LinkedIn 和其他社交媒体平台作为开展网络间谍活动的工具。 但是创建虚假但看起来合法的在线配置文件——并在其中填充帖子和消息——是一个耗时的过程。
Shortridge 认为攻击者可以使用 ChatGPT 等 AI 工具来编写令人信服的内容,同时还可以获得比手动工作更少的劳动密集型优势。
“很多这类社会工程活动需要付出很多努力,因为你必须设置这些资料,”她说,并认为人工智能工具可以大大降低进入门槛。
“我相信 ChatGPT 可以写出非常有说服力的思想领袖帖子,”她说。
技术创新的本质意味着,每当有新事物出现时,总会有人试图利用它进行恶意攻击。 即使采用最具创新性的方法来防止滥用,网络罪犯和欺诈者的偷偷摸摸的本性也意味着他们很可能会找到绕过保护的方法。
“没有办法将滥用完全消除到零。任何系统都从未发生过这种情况,”Shykevich 说,他希望强调潜在的网络安全问题将意味着围绕如何防止 AI 聊天机器人被用于错误目的进行更多讨论。
“这是一项伟大的技术——但是,与新技术一样,存在风险,重要的是要讨论它们以了解它们。而且我认为我们讨论得越多,OpenAI 和类似公司就越有可能投资更多 减少虐待,”他建议道。
AI 聊天机器人(例如 ChatGPT)的网络安全也有好处。 它们特别擅长处理和理解代码,因此有可能使用它们来帮助防御者理解恶意软件。 由于他们也可以编写代码,因此通过协助开发人员完成他们的项目,这些工具可能有助于更快地创建更好、更安全的代码,这对每个人都有好处。
正如 Forrester 首席分析师 Jeff Pollard 最近写道,ChatGPT 可以大大减少生成安全事件报告所需的时间。
“更快地扭转这些局面意味着有更多时间做其他事情——测试、评估、调查和响应,所有这些都有助于安全团队扩大规模,”他指出,并补充说机器人可以根据可用数据建议下一步行动。
“如果正确设置安全编排、自动化和响应以加速工件的检索,这可以加速检测和响应并帮助 [安全运营中心] 分析师做出更好的决策,”他说。
因此,聊天机器人可能会让网络安全领域的某些人的生活更加艰难,但也可能有一线希望。
ZDNET 联系 OpenAI 征求意见,但未收到回复。 然而,ZDNET 询问 ChatGPT 它制定了哪些规则来防止它被滥用于网络钓鱼——我们得到了以下文本。
“需要注意的是,虽然像 ChatGPT 这样的 AI 语言模型可以生成类似于网络钓鱼电子邮件的文本,但它们不能自行执行恶意操作,需要用户的意图和操作才能造成伤害。因此,重要的是 用户在使用人工智能技术时要谨慎行事并做出良好判断,并警惕网络钓鱼和其他恶意活动。”
