?大數(shù)據(jù)文摘出品

ChatGPT很好玩，但是終于是出問題了。

作為一款幾乎全能的語言類AI，ChatGPT可以回答各種問題、可以幫你寫文章，還能幫你寫代碼。

等等，寫代碼？

如果有人想讓ChatGPT寫一個(gè)惡意代碼去攻擊別人，結(jié)果會(huì)怎么樣？

近期，安全研究員、 Picus Security的聯(lián)合創(chuàng)始人Suleyman Ozarslan博士最近成功使用ChatGPT創(chuàng)建了一段釣魚代碼，居然還是世界杯主題的。

我們一起來看看。

如何使用ChatGPT創(chuàng)建勒索軟件和釣魚電子郵件

“我們從一個(gè)簡單的練習(xí)開始，看看 ChatGPT 是否能創(chuàng)建一個(gè)可信的釣魚活動(dòng)，結(jié)果確實(shí)如此。我輸入了一個(gè)提示，寫了一封世界杯主題的電子郵件，用于仿真網(wǎng)絡(luò)釣魚，它在幾秒鐘內(nèi)創(chuàng)建了一個(gè)完美的英語電子郵件?！盨uleyman Ozarslan說。

Ozarslan給ChatGPT提示說，他是一個(gè)模擬攻擊攻擊的安全研究員，他們想開發(fā)一個(gè)模擬釣魚攻擊的工具，請幫忙寫一個(gè)關(guān)于世界杯的釣魚郵件來模擬釣魚攻擊。

于是，ChatGPT就真的寫了一段。

也就是說，雖然ChatGPT認(rèn)識到“網(wǎng)絡(luò)釣魚攻擊可能被用于惡意目的，并可能對個(gè)人和組織造成傷害”，但它仍然生成了電子郵件。

在完成這個(gè)練習(xí)之后，Ozarslan要求ChatGPT編寫Swift代碼，在MacBook上加密 Office 文件之前，這個(gè)代碼可以在MacBook上找到微軟Office文件并通過HTTPS發(fā)送到網(wǎng)絡(luò)服務(wù)器。

很順利的，ChatGPT的解決方案生成了示例代碼，并且沒有任何警告或提示。

Ozarslan的研究實(shí)踐表明，網(wǎng)絡(luò)犯罪分子可以很容易地繞過OpenAI的保護(hù)，比如將自己定位為研究人員，來模糊他們的惡意意圖。

網(wǎng)絡(luò)犯罪數(shù)量的上升使天平失衡

由上面的例子可以看出，從網(wǎng)絡(luò)安全的角度來看，OpenAI的創(chuàng)造帶來的核心挑戰(zhàn)是，任何人，無論其技術(shù)專長如何，都可以根據(jù)需要?jiǎng)?chuàng)建生成惡意軟件和勒索軟件的代碼。

雖然ChatGPT確實(shí)也為安全團(tuán)隊(duì)提供了積極的好處（比如AI篩查郵件），但也確實(shí)降低了網(wǎng)絡(luò)犯罪分子的進(jìn)入門檻，有可能加速威脅領(lǐng)域的復(fù)雜性，而不是減少這種復(fù)雜性。

例如，網(wǎng)絡(luò)犯罪分子可以利用人工智能來增加野外網(wǎng)絡(luò)釣魚威脅的數(shù)量，這不僅已經(jīng)讓安全團(tuán)隊(duì)不堪重負(fù)，而且只需要成功一次就能造成損失數(shù)百萬美元的數(shù)據(jù)泄露。

IRONSCALES電子郵件安全供應(yīng)商Lomy Ovadia研發(fā)部門的CVP表示：“在網(wǎng)絡(luò)安全方面，ChatGPT提供給攻擊者的東西遠(yuǎn)遠(yuǎn)多于攻擊目標(biāo)?！?/p>

Ovadia說:“對于商業(yè)電子郵件攻擊(BEC)來說尤其如此，這種攻擊依賴于使用欺騙性內(nèi)容來冒充同事、公司VIP、供應(yīng)商甚至客戶。”

Ovadia認(rèn)為，如果CISO和安全領(lǐng)導(dǎo)者依靠基于策略的安全工具來檢測AI/GPT-3生成內(nèi)容的釣魚攻擊，那么他們將被淘汰，因?yàn)檫@些AI模型使用先進(jìn)的自然語言處理(NLP)來生成幾乎不可能與真實(shí)例子區(qū)分開來的騙局電子郵件。

例如，今年早些時(shí)候，新加坡政府科技署(Government Technology Agency)的安全研究人員創(chuàng)建了200封釣魚電子郵件，并將點(diǎn)擊率與深度學(xué)習(xí)模型GPT-3創(chuàng)建的電子郵件進(jìn)行了比較，發(fā)現(xiàn)點(diǎn)擊人工智能生成的釣魚電子郵件的用戶比人類用戶多。

好消息是什么？

雖然生成式 AI 確實(shí)給安全團(tuán)隊(duì)帶來了新的威脅，但它也提供了一些積極的用例。例如，分析人員可以在部署之前使用該工具檢查開放源代碼中的漏洞。

“今天，我們看到有道德的黑客使用現(xiàn)有的人工智能來幫助編寫漏洞報(bào)告，生成代碼樣本，并識別大型數(shù)據(jù)集的趨勢。這一切都在說，當(dāng)今人工智能的最佳應(yīng)用是幫助人類做更多人類的事情。”HackerOne的解決方案架構(gòu)師Dane Sherrets說。

然而，試圖利用ChatGPT這樣的生成式AI解決方案的安全團(tuán)隊(duì)仍然需要確保充分的人工監(jiān)督，以避免潛在的問題。

盡管ChatGPT所代表的進(jìn)步令人興奮，但技術(shù)尚未發(fā)展到完全自動(dòng)運(yùn)行。對于人工智能的運(yùn)作，它需要人類的監(jiān)督，一些手工配置，并不總是能夠依靠絕對最新的數(shù)據(jù)和智能來運(yùn)行和訓(xùn)練。

正是出于這個(gè)原因，F(xiàn)orrester 建議實(shí)現(xiàn)生成式人工智能的組織應(yīng)該部署工作流和治理來管理人工智能生成的內(nèi)容和軟件，以確保其準(zhǔn)確性，并減少發(fā)布帶有安全或性能問題的解決方案的可能性。

不可避免的是，ChatGPT這樣的AI的真正風(fēng)險(xiǎn)將取決于攻防雙方在AI戰(zhàn)爭中誰能更有效地利用自動(dòng)化。

相關(guān)報(bào)道：https://venturebeat.com/security/chatgpt-ransomware-malware/