最近，Abnormal Security的研究人員發(fā)現(xiàn)了一個專門為網(wǎng)絡(luò)犯罪創(chuàng)建的無審查AI聊天機(jī)器人——GhostGPT，是人工智能用于非法活動的新前沿，可以被用于網(wǎng)絡(luò)釣魚計劃、惡意軟件開發(fā)和漏洞利用開發(fā)。

GhostGPT的主要特點(diǎn)

• 快速處理：使攻擊者能夠快速生成惡意內(nèi)容。
• 無日志政策：聲稱不記錄用戶活動，吸引那些尋求匿名的人。
• 易于訪問：通過 Telegram 分發(fā)，用戶無需技術(shù)專業(yè)知識或額外軟件設(shè)置即可訪問。

GhostGPT被宣傳為用于各種網(wǎng)絡(luò)犯罪活動的工具，包括：

• 制作惡意軟件和漏洞利用程序。
• 為商業(yè)電子郵件泄露（BEC）詐騙編寫釣魚郵件。
• 自動化社交工程攻擊。

為了測試其功能，研究人員提示GhostGPT創(chuàng)建一封模仿DocuSign的釣魚郵件。

GhostGPT生成的一個令人信服的模板

聊天機(jī)器人很快生成了一個令人信服的模板，可以輕松欺騙毫無戒心的收件人。這大大降低了網(wǎng)絡(luò)犯罪分子入門的門檻，讓低技能的攻擊者也有可能執(zhí)行復(fù)雜的活動。

引發(fā)的問題與擔(dān)憂

像GhostGPT這樣的工具的出現(xiàn)，再一次引發(fā)了人們對網(wǎng)絡(luò)安全和人工智能濫用的重大擔(dān)憂：

• 降低了高級黑客工具的獲取門檻：它在Telegram等平臺上的可用性，使得技術(shù)專業(yè)知識有限的人也能輕松訪問。
• 加速攻擊周期：憑借快速的響應(yīng)時間和未經(jīng)審查的輸出，攻擊者可以比以往更高效地創(chuàng)建惡意軟件或釣魚活動，從而縮短從計劃到執(zhí)行的時間。
• 規(guī)?；舨僮鳎荷墒?AI 使攻擊者能夠通過自動化任務(wù)（如編寫多封釣魚郵件或生成多態(tài)惡意軟件）來擴(kuò)展其操作。
• 傳統(tǒng)安全措施失效：由于生成內(nèi)容具有類似人類的質(zhì)量，防火墻和電子郵件過濾器等傳統(tǒng)安全措施難以檢測AI生成的內(nèi)容。這使得AI驅(qū)動的網(wǎng)絡(luò)安全解決方案成為應(yīng)對這些威脅的關(guān)鍵。

GhostGPT并非孤例，之前已經(jīng)出現(xiàn)過WormGPT以及FraudGPT這樣的無審查AI工具，被用于類似目的。

這些工具體現(xiàn)了生成式人工智能被武器化用于網(wǎng)絡(luò)釣魚活動（帶有個性化信息）、開發(fā)惡意軟件以及自動化漏洞利用的增長趨勢。

為了應(yīng)對AI濫用的建議

• AI驅(qū)動的安全解決方案：先進(jìn)的機(jī)器學(xué)習(xí)模型可以檢測出惡意活動的模式，即使傳統(tǒng)方法失效時也能發(fā)揮作用。
• AI開發(fā)中的倫理準(zhǔn)則：開發(fā)者必須實施強(qiáng)有力的保障措施，以防止越獄或濫用。
• 立法行動：政府應(yīng)規(guī)范生成式AI工具的分發(fā)和使用，同時追究開發(fā)者對濫用的責(zé)任。
• 網(wǎng)絡(luò)安全意識：組織必須教育員工如何識別釣魚嘗試和其他網(wǎng)絡(luò)威脅。

GhostGPT是一個典型的例子，體現(xiàn)了當(dāng)倫理界限被移除時，人工智能的進(jìn)步可以被惡意利用。

隨著網(wǎng)絡(luò)犯罪分子越來越多地采用此類工具，網(wǎng)絡(luò)安全社區(qū)必須創(chuàng)新出同樣復(fù)雜的防御措施。

惡意還是防御，這之間帶來的關(guān)于如何使用人工智能的斗爭，可能會定義未來網(wǎng)絡(luò)安全的格局。

參考鏈接：https://cybersecuritynews.com/ghostgpt-jailbreak-version-of-chatgpt/