ArcherChatGPT 將成為病毒和惡意軟體的溫床嗎?完全不用工程開發背景也能輕易做病毒?美國資安軟體開發公司 Forcepoint 研究員亞倫穆格魯 (Aaron Mulgrew) 近日表示,只要將惡意程式碼個別單行呈現,就能夠在 OpenAI 沒有察覺的情況下完成惡意軟體。
經 OpenAI 完成後實測,亞倫穆格魯的惡意軟體會偽裝成螢幕保護程式,一旦植入系統,就會掃描 Word 、 PDF 和影片檔,當發現重要情報後,便會分割成細小的檔案隱藏到圖像檔,自動上傳到 Google 雲端硬碟轉送給駭客。
ChatGPT 低技術門檻,導致惡意軟體有更大的發揮空間
ChatGPT 帶動的熱潮,近幾個月來也吸引不少駭客的注意,如假冒 OpenAI 名義下廣告開放免費軟體下載、冒充擴充功能吸引使用者插入至瀏覽器盜取個資等。雖然 OpenAI 官方有針對 ChatGPT 設下一些防護措施,不讓駭客另做非法用途,但亞倫穆格魯在 Forcepoint 官方網站指出,他已成功寫出一套躲避 OpenAI 查緝的惡意軟體,能自動運行之外,使用者還能額外添加新的功能強化它。
亞倫穆格魯的做法是,不單向的跟 ChatGPT 要求提供惡意軟體的程式碼,反而是個別單行生成惡意程式所需要的代碼,或是請 ChatGPT 提供部分內容。在全部個別程式碼編寫完成後,惡意程式基本上便能自動執行,實現不用開發背景,就能夠撰寫與更新惡意軟體。
另一個特別的作法是,亞倫穆格魯會去跟 ChatGPT 對話,做出一個混淆版本的程式碼,裡面的內容包含惡意軟體所需要的代碼,讓正常的代碼騙過 ChatGPT 的偵測,再從裡面擷取需要的內容。
基本上,照著亞倫穆格魯在 Forcepoint 官網的步驟,所有人都能刻出一個惡意軟體,所以他也列出了幾個解決方法來應對這個問題,像是監控和阻止網路異常流量來源、設定員工權限管制、定期更新系統軟體漏洞等。