有問必答的AI聊天機器人ChatGPT 被發現遭駭客用來協助開發惡意程式

AI聊天機器人ChatGPT自去年11月上線以來,已有許多人用在各種不同任務上,包括寫詩、技術文件、小說或論文、準備party,或是學習新主題等等。現在還加上一項,開發惡意程式。

AI聊天機器人ChatGPT自去年11月上線以來,已有許多人用在各種不同任務上,包括寫詩、技術文件、小說或論文、準備party,或是學習新主題等等。現在還加上一項,開發惡意程式。

Check Point研究人員發現,早在ChatGPT上線幾周內,駭客論壇就有一些幾乎沒有,或經驗很粗淺的人利用它幫忙撰寫可用作間諜活動、勒索軟體、釣魚信件或其他惡意活動的軟體和電子郵件。

研究人員說,ChatGPT是否已成為暗網人士的新寵還言之過早,但的確已經有人有興趣用它來撰寫惡意程式碼。

上個月一名論壇成員貼出了以ChatGPT撰寫的第一支惡意Python程式,整合了程式簽章、加密、解密等功能。這名成員說ChatGPT「提供很大幫助,把程式改得更好」。

另一名成員以ChatGPT撰寫兩款程式,一個是Python程式碼,用作竊取PDF等檔案,先儲存在暫存檔、壓縮後回傳給攻擊者。另一個則是Java程式,會偷偷下載SSH及telnet用戶端程式,再以Windows Powershell執行。

還有一人在ChatGPT幫忙下,撰寫出線上交易市集,供網路犯罪者們交易被駭的使用者帳號、信用卡資料、惡意程式或其他非法商品等品項。

Check Point研究人員則早在兩個月前就使用ChatGPT 產生高可信度的垃圾郵件,並開發可挾在Excel檔的惡意巨集,自己一行程式碼都沒寫。研究人員說,一開始ChatGPT寫出來的還很粗糙,等研究人員要ChatGPT改寫幾次後,程式碼品質也大幅改進。

之後研究人員使用更進階的AI工具,稱為Codex來開發其他類惡意程式,包括逆向shell、掃瞄程式碼、偵測沙箱及將Python程式碼組譯成Windows執行檔。

雖然ChatGPT的修款禁止使用者的非法或惡意用途,但研究人員很容易就繞過這些限制。

當然ChatGPT在好人手上也可以撰寫出安全防護工具,例如搜尋檔案中的惡意網站URL或查詢VirusTotal資料庫是不是已有類似的樣本。

但ChatGPT的案例說明了長久的爭議,AI如水,能載舟也能覆舟,如何確保AI的適當使用,成了不可迴避的議題。

來源:Ars Technica

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416