吳明宜OpenAI 的 Assistants API 對駭客來說有新用途,倒不是寫程式或寫文章,而是控制惡意程式。
微軟上周解說一隻前所未見的後門程式,名為 SesameOp,它會利用 OpenAI 的 Assistant API 作為 C&C 通道在受感染系統和攻擊者之間傳送指令。微軟七月首次發現 SesameOp 已為害了數個月,它透過把自己的網路流量和合法的 AI 流量混雜,在任何使用 api.openai.com 的用戶眼前明目張膽地攻擊。
微軟事件回應小組指出,攻擊串一開始是由 loader 以名為.NET AppDomaintManager 注入的手法植入後門程式。惡意軟體並不會直接對 ChatGPT 交談,而是劫持 OpenAI 基礎架構為資料傳送員。它接收指令,外洩資料,都是在數百萬使用者每天慣常使用的同一條通道上進行。
由於跑在合法雲端基礎架構上,讓 SesameOp 不留啟人疑竇的跡象。該後門程式利用 OpenAI 作為 C2 通道暗中操作惡意活動。但微軟說,這次攻擊不能說是 OpenAI 的漏洞或配置錯誤,只能是 OpenAI Assistant API 內建能力的誤用。
微軟的技術分析顯示,SesameOp 使用惡意程式壓縮和分層加密手法隱藏指令、外傳資料,DLL 以 Eazfuscator.NET 混淆;透過.NET AppDomainManager 注入手法載入 runtime,然後後門程式從 Assistants API 拉取加密指令,在本地解密並執行,最後將結果回傳給 C2 Server,微軟稱其手法十分高明,神不知鬼不覺。
對資安人員來說這十分棘手,因為在公司網路流量觀察到 OpenAI API 連線你不能說它是駭客入侵。微軟甚至發出請求,協助研究員糾出異常 OpenAI 端點的程序連線。
Assistants API 本身即將在 2026 年八月停用,或許可關閉這個特殊破口。
微軟並未說明利用 OpenAI 散佈 SesameOp 的是誰,但說已經研究結果分享給了 OpenAI,後者已經找到被駭客濫用的 API 金鑰及帳號,也已經關閉。
OpenAI 並未對此回應。
在 OpenAI 逐漸延伸進企業網路的今天,這次的攻擊想必不會是最後一次。
來源:The Register