IBM 的一項新研究表明，當前的生成式人工智能 (AI) 模型已經(jīng)非常擅長編寫看似高度可信的網(wǎng)絡釣魚電子郵件，并且可以為攻擊者節(jié)省大量時間。

在IBM針對一家未透明名稱的全球醫(yī)療保健公司1600 名員工進行的測試中，各有一半的員工分別收到了來自由真人和AI編寫的釣魚郵件，結果顯示，14% 的員工誤入了真人編寫的釣魚電子郵件并點擊了惡意鏈接，11% 的員工則陷入了由ChatGPT 編寫的釣魚郵件。

由 ChatGPT 制作的釣魚電子郵件（由 IBM 提供）

雖然由真人編寫的釣魚郵件在欺騙度上高于AI，但差距已經(jīng)不大，更重要的是，研究人員只用了五分鐘就讓 ChatGPT 寫出了一封釣魚郵件。

領導這項實驗的 IBM 首席人力黑客斯蒂芬尼·卡拉瑟斯（Stephanie Carruthers） 說道：““我的團隊通常需要大約 16 個小時來構建網(wǎng)絡釣魚電子郵件，而且這還不考慮基礎設施設置。因此，攻擊者可以通過使用生成式人工智能模型節(jié)省近兩天的工作時間?！?/p>

雖然ChatGPT 開發(fā)商 OpenAI 已經(jīng)采取了保護措施，防止聊天機器人響應網(wǎng)絡釣魚電子郵件、惡意軟件或其他惡意網(wǎng)絡工具的直接請求。但卡拉瑟斯和她的團隊已經(jīng)找到了解決方法。

團隊首先要求 ChatGPT 列出醫(yī)療保健行業(yè)員工關注的主要領域，然后提示 ChatGPT在電子郵件中列出最重要的社交工程和營銷技術，以提高更多員工點擊電子郵件中惡意鏈接的可能性。接著，提示詢問 ChatGPT 發(fā)件人應該是誰——公司內部人員、供應商或外部組織。最后，要求ChatGPT根據(jù)剛剛提供的信息制作一封電子郵件。

“我擁有近十年的社會工程經(jīng)驗，制作了數(shù)百封網(wǎng)絡釣魚電子郵件，我甚至發(fā)現(xiàn)人工智能生成的網(wǎng)絡釣魚電子郵件相當有說服力，”卡拉瑟斯說。

她解釋說，在創(chuàng)建網(wǎng)絡釣魚電子郵件方面，人仍然比機器更好，因為生成式人工智能模型仍然缺乏欺騙更多人所需的情商。

然而，IBM X-Force 已經(jīng)觀察到，諸如 WormGPT 之類的工具在各種宣傳網(wǎng)絡釣魚功能的論壇上出售，表明攻擊者正在測試人工智能在網(wǎng)絡釣魚活動中的使用，而且該技術正在不斷改進。