基于大型語言模型 (LLM) 的生成式 AI 聊天機器人（例如 OpenAI 的 ChatGPT）今年風靡全球。ChatGPT 通過讓數(shù)百萬人使用人工智能的力量而成為主流。

此舉激發(fā)了其他公司（多年來一直在實驗室研究類似的人工智能）推出自己的公共法學碩士服務(wù)，并且已經(jīng)出現(xiàn)了數(shù)千種基于這些法學碩士的工具。

不幸的是，惡意黑客迅速采取行動，利用這些新的人工智能資源，利用 ChatGPT 本身來完善和制作網(wǎng)絡(luò)釣魚電子郵件。然而，事實證明，使用主流法學碩士很困難，因為來自 OpenAI、微軟和谷歌的主要法學碩士都有防護措施，以防止它們被用于詐騙和犯罪活動。

因此，一系列專門針對惡意網(wǎng)絡(luò)攻擊而設(shè)計的人工智能工具開始出現(xiàn)。

WormGPT：針對威脅行為者的智能工具

7 月初，暗網(wǎng)論壇以及隨后的 Telegram 消息服務(wù)上出現(xiàn)了有關(guān)針對網(wǎng)絡(luò)攻擊進行優(yōu)化的 LLM 聊天機器人的討論和推廣。這些工具通常以訂閱的形式提供給潛在的攻擊者。它們與流行的法學碩士類似，但沒有護欄，并根據(jù)選定的數(shù)據(jù)進行訓練以實現(xiàn)攻擊。

利用生成式人工智能的人工智能工具的領(lǐng)先品牌稱為 WormGPT。它是一個基于 GPTJ 語言模型的 AI 模塊，于 2021 年開發(fā)，已用于商業(yè)電子郵件泄露 (BEC) 攻擊和其他惡意用途。

用戶只需輸入創(chuàng)建欺詐電子郵件的說明 - 例如，“編寫一封來自銀行的電子郵件，旨在誘騙收件人放棄其登錄憑據(jù)。”

然后，該工具會生成一封獨特的、有時很聰明、通常語法完美的電子郵件，據(jù)一些分析師稱，這比大多數(shù) BEC 攻擊者自己編寫的電子郵件更有說服力。例如，獨立網(wǎng)絡(luò)安全研究員 Daniel Kelley 發(fā)現(xiàn) WormGPT 能夠生成一封詐騙電子郵件， “這不僅非常有說服力，而且在戰(zhàn)略上也很狡猾”。

WormGPT 的據(jù)稱創(chuàng)建者聲稱，它是基于一家名為 EleutherAI 的公司開發(fā)的開源 GPTJ 語言模型構(gòu)建的。據(jù)報道，他正在研究 Google Lens 集成（使聊天機器人能夠發(fā)送帶有文本的圖片）和 API 訪問。

到目前為止，人們識別欺詐性網(wǎng)絡(luò)釣魚電子郵件的最常見方法是通過可疑的措辭?，F(xiàn)在，多虧了像 WormGPT 這樣的人工智能工具，這種“防御”已經(jīng)完全消失了。

犯罪人工智能工具的新世界

WormGPT 啟發(fā)了山寨工具，其中最著名的是一種名為 FraudGPT 的工具，該工具與 WormGPT 類似，用于網(wǎng)絡(luò)釣魚電子郵件、創(chuàng)建破解工具和刷卡（一種信用卡欺詐）。

在犯罪法學碩士的陰暗世界中出現(xiàn)的其他“品牌”有 DarkBERT、DarkBART、ChaosGPT 等。DarkBERT 實際上是一種打擊網(wǎng)絡(luò)犯罪的工具，由一家名為 S2W Security 的韓國公司開發(fā)，該公司接受過暗網(wǎng)數(shù)據(jù)的培訓，但該工具很可能已被用于網(wǎng)絡(luò)攻擊。

一般來說，這些工具用于增強網(wǎng)絡(luò)攻擊的三個方面：

• 增強了網(wǎng)絡(luò)釣魚。網(wǎng)絡(luò)攻擊者可以使用 WormGPT 和 FraudGPT 等工具以多種語言創(chuàng)建大量措辭完美、有說服力且巧妙的網(wǎng)絡(luò)釣魚電子郵件，并大規(guī)模自動化發(fā)送。
• 提高了智力。攻擊者可以讓工具收集該信息，而不是手動研究有關(guān)潛在受害者的詳細信息。
• 促進了惡意軟件的創(chuàng)建。與 ChatGPT 一樣，其惡意模仿者可以編寫代碼。這意味著新手開發(fā)人員無需具備以前所需的技能即可創(chuàng)建惡意軟件。

人工智能軍備競賽

惡意 LLM 工具確實存在，但迄今為止它們所造成的威脅仍然很小。據(jù)報道，這些工具不可靠，需要大量的試驗和錯誤。而且它們價格昂貴，每年的使用成本為數(shù)百美元。迄今為止，技術(shù)嫻熟、無人協(xié)助的人類攻擊者仍然是最大的威脅。但這些犯罪法學碩士真正所做的是降低大量非熟練攻擊者的進入門檻。

盡管如此，惡意網(wǎng)絡(luò)攻擊人工智能工具的發(fā)展還處于早期階段。預計能力會提高，價格會下降。

惡意法學碩士的興起代表了攻擊型人工智能和防御型人工智能之間的新軍備競賽?；谌斯ぶ悄艿陌踩鉀Q方案在防御 LLM 支持的攻擊日益增長的威脅方面名列前茅：

1. 使用基于人工智能的安全解決方案進行威脅檢測并消除基于人工智能的網(wǎng)絡(luò)攻擊。
2. 使用多重身份驗證(MFA)。
3. 將有關(guān)人工智能增強攻擊的信息整合到網(wǎng)絡(luò)安全意識培訓中。
4. 及時了解補丁和更新。
5. 掌握威脅情報，隨時了解快速發(fā)展的基于 LLM 的攻擊世界。
6. 重新審視并優(yōu)化您的事件響應計劃。

我們現(xiàn)在生活在一個基于法學碩士的生成式人工智能工具被廣泛使用的世界。網(wǎng)絡(luò)攻擊者正在致力于開發(fā)這些能力，以便攻擊者能夠更快、更聰明、更便宜地實施犯罪，而且攻擊者的技能也更少。