圈小蛙
随着生成式人工智能(AI)如今风靡全球,该技术被恶意行为者重新利用以谋取自身利益,为加速网络犯罪提供了途径。
根据网络安全公司SlashNext的调查结果显示,一种名为WormGPT的新型生成式人工智能网络犯罪工具已在地下论坛上进行广告宣传,作为对手发起复杂的网络钓鱼和商业电子邮件泄露(BEC)攻击的一种方式。
安全研究员丹尼尔·凯利(Daniel Kelley)表示:“该工具将自己视为GPT模型的黑帽替代品,专为恶意活动而设计。”“网络犯罪分子可以利用此类技术自动创建高度可信的虚假电子邮件,并针对收件人进行个性化定制,从而增加攻击的成功几率。”
该软件的作者将其描述为“著名的ChatGPT的最大敌人”,“它可以让你做各种非法的事情”。
WormGPT于今年3月份诞生,直到6月份开发者才开始在一个流行的黑客论坛上出售该平台的访问权限。与受人尊敬的ChatGPT或Google Bard不同,黑客聊天机器人在回答有关非法活动的问题时没有任何限制。
为了支持这些宣称,开发人员提供了屏幕截图,显示您可以要求WormGPT用Python编写恶意软件,并从他那里获得有关组织网络攻击的建议。使用2021年以来相对过时的开源大型GPT-J语言模型作为创建聊天机器人的平台。她接受了与恶意软件开发相关的材料培训,WormGPT就此诞生。
SlashNext公司的专家试用了WormGPT ,该聊天机器人根据他们的要求制作了一封钓鱼电子邮件来破坏企业电子邮件,该电子邮件令人信服,其中包括成功实施攻击的巧妙战略举措。
在不良行为者手中,像WormGPT这样的工具可能是一种强大的武器,特别是OpenAI的ChatGPT和Google的Bard越来越多地采取措施打击滥用大型语言模型(LLM)来编造令人信服的网络钓鱼电子邮件并生成恶意代码的情况下。
网络安全公司Check Point在本周的一份报告中表示:“Bard在网络安全领域的反滥用限制明显低于ChatGPT。”“因此,使用Bard的功能生成恶意内容要容易得多。”
今年2月初,这家以色列网络安全公司披露了网络犯罪分子如何利用API来绕过ChatGPT的限制,更不用说交易被盗的高级帐户以及出售暴力破解软件,通过使用大量的电子邮件地址和密码列表入侵ChatGPT账户。
WormGPT的运行没有任何道德底线,这一事实凸显了生成式人工智能所带来的威胁,甚至允许新手网络犯罪分子在不具备技术条件的情况下迅速、大规模地发起攻击。
更糟糕的是,威胁行为者正在推动ChatGPT的“越狱”,设计专门的提示和输入,以操纵该工具生成可能涉及披露敏感信息、生成不当内容和执行有害代码的输出。
“生成式人工智能可以创建语法无懈可击的电子邮件,使它们看起来合法,并降低被标记为可疑邮件的可能性。”凯利说。
“生成式人工智能的使用使复杂的BEC攻击的执行变得简单化。即使是技能有限的攻击者也可以使用这项技术,使其成为更广泛的网络犯罪分子的可用工具。”
开发者估计WormGPT的访问费用为每月60欧元或每年550欧元。该产品可能还远未达到完美:一位买家抱怨该平台的性能低下。但是,无论如何,这是一个明显的迹象,表明生成式人工智能可以成为网络犯罪分子手中的武器。随着时间的推移,这些技术将会得到改进。