那個(gè)幫爺爺賣茶葉的善良女孩，可能是 ChatGPT

ChatGPT，越來(lái)越刑了!

已有不法分子將其“打扮成”年輕女孩，放社交軟件上，引誘男性上鉤，進(jìn)而實(shí)施詐騙。

事實(shí)上，據(jù) Forbes 最新消息，ChatGPT 不法用途還不止于此。

它不僅能編寫程序，監(jiān)視鍵盤輸入信息，也能自己生成勒索軟件，甚至，還有人用其編寫暗網(wǎng)上毒品交易市場(chǎng)各種功能的代碼。而對(duì)很多不擅長(zhǎng)英語(yǔ)的異國(guó)黑客，ChatGPT 也是協(xié)助生成英文釣魚網(wǎng)站絕佳從犯。

安全研究機(jī)構(gòu)（如 Check Point）已關(guān)注到了 ChatGPT 被用于不法行徑的問(wèn)題，引發(fā)很多網(wǎng)友熱議。

有人感慨：這還只是開始。

也有人提議，要自己構(gòu)建個(gè) ChatGPT 聊天機(jī)器人，與詐騙聊天機(jī)器人嘮嘮，會(huì)發(fā)生什么？

所以，ChatGPT 是如何被“帶壞”的？

ChatGPT 惡意打開方式有幾種？

ChatGPT 在 2022 年 11 月剛發(fā)布時(shí)，就有不少人預(yù)測(cè)，它可能被用于非法網(wǎng)絡(luò)犯罪。

甚至有人親自下場(chǎng)，試驗(yàn)了一下用 ChatGPT 如何觸碰網(wǎng)絡(luò)犯罪紅線。

從構(gòu)建魚叉式網(wǎng)絡(luò)釣魚郵件，到運(yùn)行能接受英語(yǔ)命令的反向 shell，ChatGPT 都能 Hold 住。

值得明確的是，上述都停留在“假設(shè)”與“警告”中。

直到這兩天，IT 安全公司 Check Point 表示，他們找到了確切證據(jù)。通過(guò)對(duì)幾個(gè)主流地下黑客社區(qū)論壇的分析，調(diào)研者發(fā)現(xiàn)：

已有第一批網(wǎng)絡(luò)犯罪分子使用 OpenAI 開發(fā)惡意工具，他們中，甚至有人沒有代碼開發(fā)能力。

為證明所言不虛，調(diào)研者分享了一些案例。

比如 2022 年 12 月 29 日的一篇帖子，它來(lái)自地下黑客論壇，名為《ChatGPT-作為惡意軟件的好處》。

帖子作者表示，他已經(jīng)在嘗試用 ChatGPT 創(chuàng)建惡意軟件，隨文還分享出一段基于 Python 的竊取器的代碼。

該程序會(huì)搜索 12 種常見文件類型，比如 Office 文檔、PDF 及圖片，當(dāng)發(fā)現(xiàn)特定文件后，程序會(huì)將它們復(fù)制到 Temp 文件夾內(nèi)，壓縮并上傳到 FTP 服務(wù)器。

網(wǎng)絡(luò)安全分析者還指出，該程序發(fā)送文件過(guò)程中并未加密，因此，第三方也可能獲得上述傳輸?shù)奈募?/p>

該帖子作者還分享了一段 Java 代碼，它將下載 PuTTY。這是一個(gè)常見的 SSH 和 telnet 客戶端，惡意代碼將使用 Powershell 在系統(tǒng)中秘密運(yùn)行它。通過(guò)修改腳本，能下載任何惡意軟件。

值得注意的是，這位發(fā)帖者是地下黑客論壇活躍分子，曾參與多個(gè)非法腳本開發(fā)，比如一個(gè)試圖通過(guò)網(wǎng)絡(luò)釣魚獲得用戶敏感信息的 C++ 程序。他還分享過(guò) Android RAT 和 SpyNote 的破解版。

網(wǎng)絡(luò)安全機(jī)構(gòu)調(diào)研者認(rèn)為，此人是個(gè)技術(shù)能手，這篇帖子是個(gè)教程，旨在向低開發(fā)能力的不法分子展示利用 ChatGPT 的方法及實(shí)例。

如果上述帖子是技術(shù)派帶壞 ChatGPT 的代表，下面一篇帖子，就是門外漢利用 AI 作惡的旁證。

這位名為 USDoD 的黑客發(fā)布了一個(gè)原創(chuàng)腳本，特意強(qiáng)調(diào)這是他創(chuàng)建的第一個(gè)腳本。下方有人指出該代碼很像 AI 生成代碼時(shí)，他也承認(rèn)，OpenAI 提供了一個(gè)“好幫手”。

其功能是對(duì)單個(gè)文件加密，并將消息認(rèn)證碼 （MAC）附在文件末尾，也能將硬編碼路徑加密，并解密參數(shù)文件列表。

盡管上述代碼可用于合法場(chǎng)景，但是，一旦部分腳本與語(yǔ)法問(wèn)題加以調(diào)整，它就能變成一個(gè)勒索軟件。

該發(fā)帖者是一位技術(shù)不強(qiáng)的活躍分子，曾出售被盜數(shù)據(jù)庫(kù)訪問(wèn)權(quán)，最近還共享過(guò) InfraGard 數(shù)據(jù)庫(kù)。

相比生成腳本與代碼，更多不法分子專注于用 ChatGPT 從事更容易上手的非法交易。

一篇 2022 年 12 月 31 日的帖子討論了 —— 用 ChatGPT 在暗網(wǎng)創(chuàng)建非法商品市場(chǎng)有多容易。

內(nèi)容中，涉及交易的物品包括被盜賬戶、銀行卡、惡意軟件，甚至毒品和槍械，付款方式以加密貨幣進(jìn)行。

其他地下論壇中，也有相當(dāng)一部分帖子討論如何利用 ChatGPT 進(jìn)行詐騙的手法。

有網(wǎng)絡(luò)安全調(diào)研機(jī)構(gòu)向媒體表示，已有詐騙者企圖利用 ChatGPT 創(chuàng)建聊天 bot，模仿女孩聊天，用以低成本和受害男性聊天，博取他們信任，從而實(shí)施詐騙。

Check Point 調(diào)研者補(bǔ)充道，盡管 ChatGPT 所生成的惡意軟件及代碼很基礎(chǔ)，不可能像此前攻破愛爾蘭衛(wèi)生系統(tǒng)的 Conti 一樣精致，但其潛在危害在于降低了新手違法的門檻。

他繼續(xù)補(bǔ)充，該門檻不僅針對(duì)技術(shù)，對(duì)于不擅長(zhǎng)英語(yǔ)的各國(guó)黑客，ChatGPT 也是生成合法釣魚郵件的“絕佳工具”。在釣魚郵件犯罪中，AI 也可能被用于個(gè)性化生成內(nèi)容。

值得一提的是，在地下黑客論壇，關(guān)于在灰色地帶靠 ChatGPT 獲利的討論內(nèi)容也不少。有內(nèi)容討論如何用 AI 快速創(chuàng)造網(wǎng)文、電子書并銷售獲利，另一部分內(nèi)容討論了用 OpenAI 另一個(gè)模型 DALLE-2 生成圖片并出售的操作。

關(guān)于上述威脅，也有人去問(wèn)了問(wèn) ChatGPT 的看法。

AI 認(rèn)為，這類現(xiàn)象并不罕見，并列出常見手法。

更值得注意的是，ChatGPT 在結(jié)尾很“機(jī)智”、“公關(guān)”地替母公司給出一套辯護(hù)說(shuō)辭：

值得注意的是，OpenAI 本身并不對(duì)第三方濫用技術(shù)的行為負(fù)責(zé)，公司已采取了相關(guān)措施防止技術(shù)被用于惡意目的，比如出臺(tái)條款要求用戶同意 —— 禁止將其技術(shù)用于非法或有害活動(dòng)。

最后問(wèn)問(wèn)，對(duì)濫用 ChatGPT 現(xiàn)象，你有解決方案么？

參考鏈接：

• [1]https://www.forbes.com/sites/thomasbrewster/2023/01/06/chatgpt-cybercriminal-malware-female-chatbots/?sh=1f13474c5534

• [2]https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/

本文來(lái)自微信公眾號(hào)：量子位 （ID：QbitAI），作者：詹士

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。