ChatGPT：構建信息竊取器和其他黑客工具

時間：2023-07-22 14:45:01 | 來源：網站運營

時間：2023-07-22 14:45:01 來源：網站運營

ChatGPT：構建信息竊取器和其他黑客工具：




OpenAI的自然語言聊天機器人ChatGPT能夠編寫代碼，制作關于某個細分主題的報告，甚至為一首歌編寫歌詞。它在論文寫作方面的成功促使學校禁止使用它，據(jù)說微軟正在將它納入必應搜索，但安全研究人員警告說，它正被用于更邪惡的用途，但是真正的問題可能會變得更糟。

美國Check Point研究公司的專家發(fā)現(xiàn)了多個網絡犯罪分子在開發(fā)惡意工具時慶祝他們使用ChatGPT的例子，并警告說，這使得黑客能夠擴大現(xiàn)有的項目，新的犯罪分子能夠比以前更快地學習這些技能。

Check Point威脅智能組經理謝爾蓋?希克維奇（Sergey Shykevich）表示，假設隨著時間的推移，更復雜（和保守）的威脅行為者也將開始嘗試和使用ChatGPT來改進他們的工具和操作方式，甚至只是為了減少所需的貨幣投資。

ChatGPT于2022年11月底推出，在不到兩個月的時間里，已經成為軟件開發(fā)人員、研究人員和其他專業(yè)人士工作流程中的一個重要部分。在第一周，它就從零變成了數(shù)百萬的普通用戶。

像所有的新技術一樣，只要有足夠的時間和動機，就會有人找到利用它的方法，Check Point研究公司說，這正是他們看到的情況。在地下黑客論壇中，犯罪分子正在創(chuàng)造信息竊取者、加密工具，并通過聊天工具促進欺詐。

他們發(fā)現(xiàn)最近的三個案例，包括一個為信息竊取者重新創(chuàng)建惡意軟件株，另一個創(chuàng)建多層加密工具，還有一個為非法商品交易編寫暗網市場腳本--都是用ChatGPT編寫的代碼。

水印和限制

安全公司的研究人員對ChatGPT進行了測試，看看它是否會產生可用于惡意用途的代碼，發(fā)現(xiàn)它可以編寫可執(zhí)行代碼和宏，在Excel中運行。這份新報告強調了ChatGPT衍生的惡意活動的 "野代碼 "使用情況。

一些工程師要求OpenAI對這些發(fā)現(xiàn)以及它如何努力解決惡意使用情況發(fā)表評論，但在發(fā)表時沒有得到回應。在其推廣ChatGPT的頁面上，OpenAI寫道："雖然我們已經努力使模型拒絕不適當?shù)恼埱螅袝r會響應有害的指令或表現(xiàn)出偏見的行為。我們正在使用Moderation API來警告或阻止某些類型的不安全內容，但我們預計它暫時會有一些錯誤的否定和肯定。"

OpenAI和其他大型語言模型人工智能系統(tǒng)的開發(fā)者需要改進他們的引擎，以識別潛在的惡意請求，并為想要使用OpenAI引擎的人實施認證和授權工具。"甚至類似于在線金融機構和支付系統(tǒng)目前使用的東西。

OpenAI已經在開發(fā)一個水印工具，這將使安全專家、政府機構和教授更容易識別文本是否由ChatGPT編寫，盡管目前還不清楚這是否適用于代碼。







ChatGPT：信息竊取者和 "培訓

目前看來，經過分析了幾個主要的地下黑客社區(qū)，尋找提及ChatGPT或其他形式的人工智能生成的編碼工具的實例，發(fā)現(xiàn)網絡犯罪分子使用OpenAI工具的多個實例。一些案例清楚地表明，許多使用OpenAI的網絡犯罪分子根本沒有開發(fā)技能。

雖然今天正在構建的工具是 "相當基本的"，但更復雜的黑客開始轉向基于人工智能的工具，以擴大他們自己的工具，包括通過創(chuàng)建更利基和具體的攻擊載體，這可能是手動編寫代碼無法實現(xiàn)的，這只是時間問題。

這些 "簡單工具 "的一個例子是出現(xiàn)在一個流行的黑客論壇上的一個題為 "ChatGPT惡意軟件的好處 "的信息竊取者。在他的帖子中，作者透露它曾使用ChatGPT，通過向人工智能工具提供描述和寫法，重新創(chuàng)建其他出版物中描述的惡意軟件株。然后，它分享了基于Python的偷竊者代碼，該代碼搜索常見的文件類型，將它們復制到一個隨機文件夾，并將它們上傳到一個硬編碼的FTP服務器。

這是一個基本的竊取器，它在整個系統(tǒng)中搜索12種常見的文件類型（如微軟Office文檔、PDF和圖像）。如果發(fā)現(xiàn)任何感興趣的文件，該惡意軟件會將文件復制到一個臨時目錄，將其壓縮，并通過網絡發(fā)送。值得注意的是，該行為人并沒有對文件進行加密或安全發(fā)送，因此這些文件也可能最終落入第三方之手。

同一黑客還分享了其他ChatGPT項目，包括一個下載普通SSH客戶端并使用Powershell運行的Java片段。Check Point專家說，這個人很可能是技術導向型的，他在向技術能力較弱的網絡犯罪分子展示如何使用ChatGPT以獲得自己的直接利益。







技術能力有限的黑客對ChatGPT趨之若鶩

在元旦前不久發(fā)現(xiàn)的另一個帖子包括一個Python腳本，創(chuàng)建者說這是他創(chuàng)建的第一個腳本。該網絡犯罪分子承認，他在OpenAI的幫助下制作了這個腳本，以擴大攻擊范圍。它執(zhí)行加密操作，由 "不同的簽名、加密和解密功能的大雜燴 "組成。

研究人員說，它似乎是良性的，但實現(xiàn)了一系列不同的功能，包括生成一個加密密鑰，加密系統(tǒng)中的文件，并可以適應 "在沒有任何用戶互動的情況下完全加密某人的機器"，以達到勒索軟件的目的。

雖然看起來”該用戶”是一個開發(fā)者，而且技術能力有限，但他是地下社區(qū)中非常活躍和有聲望的成員?！痹撚脩簟睆氖赂鞣N非法活動，其中包括出售對受損公司和被盜數(shù)據(jù)庫的訪問。最近”該用戶”分享的一個值得注意的被盜數(shù)據(jù)庫據(jù)稱是泄露的InfraGard數(shù)據(jù)庫。

研究人員發(fā)現(xiàn)，這類帖子的數(shù)量似乎越來越多，黑客們還談到了使用基于人工智能的工具快速賺錢的其他方法，包括用DALL-E 2生成隨機藝術品并在Etsy上出售，或者用ChatGPT生成電子書并在網上出售。

網絡犯罪分子正在發(fā)現(xiàn)ChatGPT的吸引力，最近幾周，研究人員看到黑客開始使用它編寫惡意代碼的證據(jù)。ChatGPT有可能給黑客一個很好的起點，從而加快他們的進程。正如ChatGPT可以用于協(xié)助開發(fā)人員編寫代碼的好處一樣，它也可以用于惡意的目的。

以下是OpenAI的ChatGPT是如何被用來發(fā)動網絡攻擊的

自11月底發(fā)布以來，用戶已經找到了一些令人信服的方法，讓OpenAI的高級聊天機器人ChatGPT接受測試。現(xiàn)在，一家安全廠商警告說，黑客可能利用它來實施高度針對性的網絡攻擊。







ChatGPT是作為OpenAI的GPT-3大型語言模型的改進版的自然語言對話界面而建立的，包括對Codex的訪問，Codex是該公司的人工智能模型，經過訓練可以理解和生成一系列編程語言的代碼。

用戶可以給出一個具體的指令，聊天機器人將產生代碼行和關于運行和實施的解釋。分享到社交媒體的例子包括用于監(jiān)測股市和進行預測的人工智能機器人，到笑話代練和簡單的工作場所工具。

安全公司Check Point Research表示，這種使用它來生成代碼以幫助提高工作場所生產力的能力，也可以給黑客提供一種更容易設計、編寫和執(zhí)行惡意代碼的方法。

該團隊記錄了一種利用該平臺產生惡意電子郵件、代碼和完整感染鏈的方法，可以部署到計算機或網絡。

他們利用ChatGPT創(chuàng)建了一個冒充托管公司的釣魚郵件，該郵件能夠更接近于真實郵件中的語氣和語言。然后，它進一步完善了該釣魚郵件，使感染鏈更容易。

最后，Check Point的研究人員使用ChatGPT生成了一段VBA代碼，可以嵌入到Microsoft Excel文檔中，一旦打開就會感染計算機。

這段代碼可以下載反向外殼，這在攻擊中使用，目的是連接到遠程計算機并重定向目標系統(tǒng)外殼的輸入和輸出連接，以便攻擊者可以遠程訪問它。

它能夠使用ChatGPT通過三個簡單的步驟做到這一點。首先是要求它冒充一家托管公司，其次是要求它再次迭代，這次是制作一個帶有惡意Excel附件的釣魚郵件，然后要求讓它生產一段惡意的VBA代碼。

ChatGPT的 "潛力改變 "網絡攻擊格局

ChatGPT有可能大大改變網絡威脅格局。現(xiàn)在，任何擁有最少資源和代碼方面零知識的人，都可以輕松利用它來損害他的想象力。

美國Check Point公司團隊還能夠使用Codex創(chuàng)建惡意代碼，讓它在一臺windows機器上執(zhí)行反向shell腳本，并連接到一個特定的IP地址，通過以管理員身份登錄檢查URL是否容易受到SQL注入的影響，然后編寫一個python腳本，在目標機器上運行一個完整的端口掃描。

生成惡意的電子郵件和代碼很容易，黑客們還可以用ChatGPT和Codex迭代惡意代碼。為了警告公眾，一些信息安全公司展示了使用ChatGPT和Codex的組合來創(chuàng)建惡意郵件和代碼是多么容易。

這些人工智能技術代表了在日益復雜和有效的網絡能力的危險演變中的又一步。網絡安全的世界正在迅速變化，隨著ChatGPT和Codex變得更加成熟，保持警惕的重要性，因為這種新的和發(fā)展中的技術可以影響威脅的格局，無論是好的還是壞的。

"腳本小子 "的威脅可能因ChatGPT而加劇

網絡專家、ExtraHop的高級技術經理杰米·莫爾斯（Jamie Moles）使用ChatGPT進行了自己的小型實驗，發(fā)現(xiàn)了與Check Point公司研究人員類似的結果。在這種情況下，他能夠使其解釋如何使用pen-testing軟件metasploit來利用eternalblue漏洞，這是一個由美國國家安全局（NSA）開發(fā)的計算機漏洞，作為一個后門，后來由Shadow Brokers黑客組織在2017年4月泄露。







ChatGPT不僅僅是最熱門的新時尚，它有著令人難以置信的聰明，這帶來了積極和消極的影響。一個潛在的負面用例是，它可以教沒有經驗的人如何做事情。Metasploit本身并不是問題。沒有任何工具或軟件在被誤用之前本質上是壞的。但是，教那些缺乏技術知識的人如何使用一個可以通過這樣一個毀滅性的漏洞被濫用的工具，可能會導致威脅的增加--特別是來自那些被稱為 "腳本小子 "的人。

這個術語通常用來描述幾乎沒有實際黑客經驗的青少年，他們已經能夠用其他更有天賦的黑客編寫的腳本來攻擊系統(tǒng)。他們最近在新聞中出現(xiàn)的次數(shù)相當多，但ChatGPT很可能成為那個更有才華的黑客。

在上個月披露ChatGPT時，OpenAI說它已經進行了檢查，以防止它產生惡意代碼，但從那時起，人們已經找到了玩弄該系統(tǒng)的方法，欺騙它，使其認為它只用于研究目的。據(jù)說最近的一次更新彌補了其中的一些漏洞。

"雖然我們已經努力使模型拒絕不適當?shù)恼埱?，但它有時會對有害的指令作出反應或表現(xiàn)出有偏見的行為，"該公司說。"我們正在使用節(jié)制API來警告或阻止某些類型的不安全內容，但我們預計它暫時會有一些錯誤的否定和肯定。我們渴望收集用戶的反饋，以幫助我們正在進行的工作，以改善這個系統(tǒng)"。

該代碼也不能保證準確。StackOverflow是開發(fā)者用來詢問和回答代碼問題的網站，它禁止使用ChatGPT的答案，理由是有很高比例的答案看起來是正確的，但實際上是錯誤的。

甚至OpenAI的首席執(zhí)行官山姆·奧特曼（Sam Altman）也警告說，ChatGPT還沒有準備好用于主流用途，不應該在生產力環(huán)境中依賴它，因為它仍然會有很多錯誤。他寫道："ChatGPT的局限性令人難以置信，但在某些方面的表現(xiàn)卻足以讓人誤以為它很偉大?，F(xiàn)在依靠它來做任何重要的事情都是錯誤的。它是一個進步的預覽；我們在魯棒性和真實性方面還有很多工作要做。"

以人為本的人工智能高級講師艾迪·朱（Eddy Zhu）博士說，雖然ChatGPT是一個 "人工智能的大里程碑"，支撐著許多現(xiàn)實世界的應用，但它并不完美。"ChatGPT會犯嚴重的錯誤。這可能會產生誤導用戶的錯誤信息，而這正是其工程師需要警惕的地方。