自 ChatGPT 推出以來，引發了科技圈的廣泛關注，但也有許多研究人員擔心生成式 AI 在將 AI 平民化的同時也會將使網絡犯罪大眾化。

這種擔心不無道理，在某些黑客論壇，安全研究人員觀察到有人使用 ChatGPT 寫惡意代碼的現象。

近期，一個名為《ChatGPT – Benefits of Malware》的帖子出現在某個熱門地下黑客論壇上，該帖子的發布者透露，他正在試驗用 ChatGPT 重構常見的惡意軟件。

(資料圖片)

安全研究人員表示，目前用 ChatGPT 開發的惡意程序都相當簡單，但更復雜程序的出現只是時間問題。

ChatGPT，犯罪分子用了都說好

2022 年 11 月底，ChatGPT 一經發布，除了引起人們對人工智能新用途的興趣，也為現代網絡安全增加了一些挑戰。從網絡安全的角度來看，ChatGPT 的誕生所帶來的主要挑戰是，技術小白都可以根據需要編寫代碼來生成惡意軟件和勒索軟件。

盡管 ChatGPT 條款禁止將其用于非法或惡意目的，但有技巧的使用者可以毫不費力地調整他們的請求來繞過這些限制。

前文提到，有人以《ChatGPT – Benefits of Malware》為題描述了使用 ChatGPT 重新創造常見的惡意程序。

文中有兩個例子。他分享了一個基于 Python 的竊取器的代碼，該竊取器會搜索常見文件類型并將它們復制到 Temp 文件夾里的一個隨機文件夾中，壓縮并將其上傳到硬編碼的 FTP 服務器。

第二個示例則是一個簡單的 Java 片段。它下載了一個非常常見的 SSH 和 telnet 客戶端“PuTTY”，并用 Powershell 在系統上秘密運行它，使用者可以修改此腳本用來下載和運行任何程序，包括常見的惡意軟件系列。

同時，安全公司 Check Point Research（CPR ）在對幾個主要地下黑客社區進行分析后發現，已經有一批網絡犯罪分子在使用 OpenAI 開發惡意工具，并在博客中展示了以下幾類利用 ChatGPT 犯罪的例子。

創建加密工具

名叫 USDoD 的黑客發布了一個 Python 腳本用來執行加密操作。離譜的是，這是他創建的第一個腳本，側面映證了小白真的可以利用ChatGPT寫惡意軟件。該腳本實際上是不同簽名、加密和解密功能的大雜燴，雖然所有上述代碼看似良性，有心之人如果對腳本和語法進行簡單修改，它可能會變成勒索軟件。

UsDoD 不是開發人員并且技術技能有限，但他在地下社區中非常活躍且享有盛譽，早被美國國防部盯上了。一名網絡犯罪分子評論他的代碼風格類似于OpenAI 代碼，后來美國國防部也證實了 OpenAI 給了他很好的“幫助”，讓他很好地完成了腳本。

網絡欺詐與黑色交易

在“濫用 ChatGPT 以創建暗網市場腳本”的討論中，有網絡罪犯向大家展示了使用 ChatGPT 創建暗網市場是多么容易。該市場在地下非法經濟中的主要作用是為非法或被盜商品（如被盜賬戶或支付卡、惡意軟件，甚至毒品和彈藥）的自動交易提供平臺，且所有付款均以加密貨幣進行，是構建犯罪的橋梁。

在野網絡釣魚

網絡犯罪分子還可以利用 AI 技術來增加在野網絡釣魚威脅的數量，只需成功一次就可能引發大規模數據泄露，造成數百萬美元的經濟損失和無法挽回的聲譽損失。

對 ChatGPT 的安全測試

此外，一些安全研究人員已經開始測試 ChatGPT 生成惡意代碼的能力。例如，Picus Security 的安全研究員和聯合創始人 Suleyman Ozarslan 博士，他最近不僅使用 ChatGPT 創建了網絡釣魚活動，還為 MacOS 創建了勒索軟件。

“我輸入了一個提示，要求其寫一封世界杯主題的電子郵件，用于網絡釣魚模擬，結果它在短短幾秒鐘內就用完美的英文創建完成了一封。”Ozarslan 表示，雖然ChatGPT 意識到釣魚攻擊可以用于惡意目的，并可能對個人和企業造成傷害，但它仍然生成了這封電子郵件。

關于此類電子郵件的風險，電子郵件安全提供商 IRONSCALES 的研發副總裁 Lomy Ovadia 表示，“在網絡安全方面，ChatGPT 可以為攻擊者提供比目標更多的東西。對于商業電子郵件（BEC）來說尤其如此，這種攻擊依賴于使用欺騙性內容來冒充同事、公司 VIP、供應商甚至客戶。”

AI 不會停下前進的步伐

雖然安全團隊也可以將 ChatGPT 用于防御目的，例如測試代碼，但其降低了網絡攻擊的進入門檻，無疑會進一步加劇威脅。

但它也提供了一些積極的用例。現在有很多道德黑客正在使用現有的人工智能技術來幫助編寫漏洞報告，生成代碼樣本，并識別大型數據集的趨勢。

要讓人工智能發揮積極作用，還需要人力監督以及進行一些手動配置，不能總是依靠絕對最新的數據和情報來運行和訓練。

ChatGPT 還很年輕，聊天機器人是當下 AI 最火的分支之一，前景廣闊，AI 的世界也不會因為害怕風險而停下腳步。

參考來源：

https://www.solidot.org/story?sid=73838

https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/

https://news.cnyes.com/news/id/5058514

關鍵詞： 惡意軟件 電子郵件 研究人員