近日，美國(guó)聯(lián)邦政府發(fā)布了一份報(bào)告，稱用戶需密切注意ChatGPT存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，尤其是在網(wǎng)絡(luò)釣魚和惡意軟件開發(fā)領(lǐng)域。

在其發(fā)布的咨詢意見報(bào)告中，政府部門警告，盡管微軟支持的人工智能工具ChatGPT獲得了前所未有的成功，吸引了大量頭部企業(yè)和資本瘋狂涌入AI賽道，一時(shí)間AI成為當(dāng)下最為火熱的賽道之一。

但是，AI 也帶來(lái)了安全方面的風(fēng)險(xiǎn)，尤其是在網(wǎng)絡(luò)釣魚郵件制作和惡意軟件生成等方面，以ChatGPT為代表的AI工具存在重大安全風(fēng)險(xiǎn)。該報(bào)告指出，為了防止這類AI工具帶來(lái)的威脅，企業(yè)必須積極主動(dòng)地采取極其謹(jǐn)慎、盡職盡責(zé)和密切注意的態(tài)度，避免出現(xiàn)更糟糕的情況。

攻擊者正在利用ChatGPT放大作惡能力

該報(bào)告列舉了惡意攻擊者使用ChatGPT的部分方法清單，具體如下所示：

• 惡意軟件生成: 利用ChatGPT生成惡意軟件不再只是一種可能存在的理論，惡意攻擊者對(duì)它的利用已經(jīng)越來(lái)越熟練，并且在暗網(wǎng)上開始了各種各樣的討論和嘗試。
• 制作網(wǎng)絡(luò)釣魚電子郵件:和惡意軟件生成不同的事，在釣魚郵件方面ChatGPT已經(jīng)向用戶展現(xiàn)出其強(qiáng)大的能力。惡意攻擊者可以利用它來(lái)生成網(wǎng)絡(luò)釣魚和魚叉式網(wǎng)絡(luò)釣魚電子郵件，并且這些電子郵件有可能通過(guò)電子郵件提供商的垃圾郵件過(guò)濾器。
• 詐騙網(wǎng)站: 通過(guò)降低代碼生成門檻，ChatGPT 可以幫助技能較低的威脅行為者輕松構(gòu)建惡意網(wǎng)站，例如偽裝和網(wǎng)絡(luò)釣魚登陸頁(yè)面。例如，零技能或很少技能的惡意行為者可以使用 ChatGPT 克隆現(xiàn)有網(wǎng)站，然后對(duì)其進(jìn)行修改、構(gòu)建虛假電子商務(wù)網(wǎng)站或運(yùn)行帶有恐嚇軟件詐騙的網(wǎng)站等。
• 發(fā)布虛假信息: 通過(guò) ChatGPT，用戶可以使用能夠撰寫極具說(shuō)服力的散文、在短時(shí)間內(nèi)生成數(shù)千條虛假新聞報(bào)道和社交媒體帖子的軟件。

企業(yè)&用戶安全防范指南/預(yù)防措施

1、提高對(duì)釣魚郵件的防范

• 千萬(wàn)不要打開未知、意外或可疑的電子郵件、鏈接和附件；
• 在下載附件之前，使用電子郵件服務(wù)提供商提供的防病毒軟件對(duì)其進(jìn)行掃描，即便是可信任的附件。如果電子郵件服務(wù)不提供病毒掃描功能，則所有下載的文件在打開前都可以用本地的殺毒軟件掃描；
• 對(duì)所有計(jì)算機(jī)設(shè)備，包括個(gè)人臺(tái)式電腦、筆記本電腦、手機(jī)、可穿戴設(shè)備等操作系統(tǒng)和軟件應(yīng)用程序進(jìn)行更新；
• 在所有的計(jì)算機(jī)設(shè)備中使用著名的、可信的防病毒軟件；
• 不要在官方設(shè)備上使用個(gè)人帳戶；
• 盡可能使用多因素身份驗(yàn)證(MFA)；
• 絕不與未經(jīng)授權(quán)/可疑的用戶、網(wǎng)站、應(yīng)用程序等共享個(gè)人信息和證書；
• 始終在瀏覽器中鍵入U(xiǎn)RL，而不是直接點(diǎn)擊鏈接.
• 始終用https開放網(wǎng)站打開鏈接，不訪問http網(wǎng)站。

2.識(shí)別惡意軟件偽裝指南

(1)管理員

• 通過(guò)在操作系統(tǒng)、BIOS和應(yīng)用程序級(jí)別上實(shí)現(xiàn)強(qiáng)化系統(tǒng)，盡可能地限制傳入的流量和用戶權(quán)限；
• 通過(guò)系統(tǒng)強(qiáng)化來(lái)阻止未經(jīng)授權(quán)的存儲(chǔ)介質(zhì)（例如 USB）；
• 經(jīng)常格式化可移動(dòng)媒體，盡量避免惡意軟件在系統(tǒng)內(nèi)橫向傳播；
• 通過(guò)文件哈希、文件位置、登錄和失敗的登錄嘗試來(lái)監(jiān)控網(wǎng)絡(luò)活動(dòng)；
• 使用知名的、可信的反惡意軟件、防病毒、防火墻、IP、IDS、SIEM解決方案；
• 對(duì)離線 LAN 和在線網(wǎng)絡(luò)使用單獨(dú)的服務(wù)器/路由；
• 根據(jù)需要允許特定用戶訪問互聯(lián)網(wǎng)并限制數(shù)據(jù)使用/應(yīng)用程序權(quán)限；
• 下載之前通過(guò)數(shù)字代碼簽名技術(shù)驗(yàn)證軟件和文檔；
• 在郵件系統(tǒng)管理員控制和其他關(guān)鍵系統(tǒng)中實(shí)施 MFA（多重身份驗(yàn)證）；
• 始終定期維護(hù)關(guān)鍵數(shù)據(jù)的備份；
• 定期更改管理員級(jí)別的密碼；
• 定期修補(bǔ)和更新所有操作系統(tǒng)、應(yīng)用程序和其他技術(shù)設(shè)備；
• 為了減少惡意代碼執(zhí)行的攻擊面；建議用戶始終使用具有標(biāo)準(zhǔn)用戶權(quán)限的帳戶登錄。

(2) 終端用戶

• 下載之前，請(qǐng)務(wù)必重新驗(yàn)證通過(guò)輔助方式（電話、短信、口頭）發(fā)送電子郵件/附件的受信任用戶；
• 立即向管理員報(bào)告任何可疑活動(dòng)；
• 切勿將關(guān)鍵數(shù)據(jù)存儲(chǔ)在在線系統(tǒng)上，而應(yīng)將其存儲(chǔ)在獨(dú)立系統(tǒng)上。

(3)ChatGPT用戶安全準(zhǔn)則

• 使用 ChatGPT 時(shí)，請(qǐng)注意共享的信息。避免共享敏感或機(jī)密信息，例如密碼、財(cái)務(wù)信息或個(gè)人詳細(xì)信息。
• 謹(jǐn)慎對(duì)待鏈接和附件。ChatGPT 可能會(huì)提供鏈接或附件作為其答案的一部分，但在單擊它們之前請(qǐng)務(wù)必小心謹(jǐn)慎。請(qǐng)務(wù)必驗(yàn)證鏈接或附件的來(lái)源，并謹(jǐn)防可疑/未知來(lái)源。
• 政府機(jī)構(gòu)工作人員手機(jī)不得用于 ChatGPT。

(4) 如果在使用ChatGPT時(shí)遇到安全問題，請(qǐng)立即向Open AI報(bào)告。

參考鏈接：https://www.thenews.com.pk/latest/1088379-warning-for-those-using-chatgpt