吳明宜AI 聊天機器人 ChatGPT 自去年 11 月上線以來,已有許多人用在各種不同任務上,包括寫詩、技術文件、小說或論文、準備 party,或是學習新主題等等。現在還加上一項,開發惡意程式。
Check Point 研究人員發現,早在 ChatGPT 上線幾周內,駭客論壇就有一些幾乎沒有,或經驗很粗淺的人利用它幫忙撰寫可用作間諜活動、勒索軟體、釣魚信件或其他惡意活動的軟體和電子郵件。
研究人員說,ChatGPT 是否已成為暗網人士的新寵還言之過早,但的確已經有人有興趣用它來撰寫惡意程式碼。
上個月一名論壇成員貼出了以 ChatGPT 撰寫的第一支惡意 Python 程式,整合了程式簽章、加密、解密等功能。這名成員說 ChatGPT「提供很大幫助,把程式改得更好」。
另一名成員以 ChatGPT 撰寫兩款程式,一個是 Python 程式碼,用作竊取 PDF 等檔案,先儲存在暫存檔、壓縮後回傳給攻擊者。另一個則是 Java 程式,會偷偷下載 SSH 及 telnet 用戶端程式,再以 Windows Powershell 執行。
還有一人在 ChatGPT 幫忙下,撰寫出線上交易市集,供網路犯罪者們交易被駭的使用者帳號、信用卡資料、惡意程式或其他非法商品等品項。
Check Point 研究人員則早在兩個月前就使用 ChatGPT 產生高可信度的垃圾郵件,並開發可挾在 Excel 檔的惡意巨集,自己一行程式碼都沒寫。研究人員說,一開始 ChatGPT 寫出來的還很粗糙,等研究人員要 ChatGPT 改寫幾次後,程式碼品質也大幅改進。
之後研究人員使用更進階的 AI 工具,稱為 Codex 來開發其他類惡意程式,包括逆向 shell 、掃瞄程式碼、偵測沙箱及將 Python 程式碼組譯成 Windows 執行檔。
雖然 ChatGPT 的修款禁止使用者的非法或惡意用途,但研究人員很容易就繞過這些限制。
當然 ChatGPT 在好人手上也可以撰寫出安全防護工具,例如搜尋檔案中的惡意網站 URL 或查詢 VirusTotal 資料庫是不是已有類似的樣本。
但 ChatGPT 的案例說明了長久的爭議,AI 如水,能載舟也能覆舟,如何確保 AI 的適當使用,成了不可迴避的議題。
來源:Ars Technica