歡迎登入資安人
若您還不是會員,請點選下方加入會員
忘記密碼
加入資安人會員
登入
新聞
觀點
專題
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
專題
解決方案
活動
訂閱電子報
登入
登入
訂閱電子報
新聞
觀點
專題
解決方案
活動
觀點
您現在位置 : 首頁 >
觀點
ChatGPT會成為下一個重大資安威脅嗎?
2023 / 02 / 03
編輯部
去年11月OpenAI正式發佈ChatGPT時,工程師們驚訝地發現,這個AI聊天機器人不僅能輕鬆模仿人類語言,甚至可以編寫程式碼。幾天之後,工程式師貼出了多個由ChatGPT作出的程式碼範例,從串接雲服務到將Python程式碼移植為Rust,ChatGPT至少在某些基礎程式設計任務上已經表現非凡。
但我們也需要小心,真實情況是否跟ChatGPT炒作一樣?
ChatGPT的程式設計能力先後登上媒體頭條新聞,「ChatGPT對網路安全的威脅遠超大多數人想像」的類似標題也確實讓人緊張。不只一般人好奇ChatGPT編寫惡意軟體的能力,駭客更想它到底能在惡意攻擊中發揮多大作用。
實測:ChatGPT缺乏專業編碼知識
Marcus Hutchins是一位從黑帽轉型為白帽的駭客,曾在2017年阻止WannaCry勒索軟體。Hutchins測試了ChatGPT編寫惡意軟體的能力。
Hutchins先寫好勒索軟體的加密元件,接著試著讓ChatGPT把該元件跟其他必要功能組合成完整的惡意軟體。但ChatGPT失敗了。事實證明,ChatGPT不只難以把各種元件整合起來,也無法順利進行程式碼的基本排序,甚至連正確打開檔案都很辛苦。
儘管ChatGPT能夠作出與訓練資料極為相似的內容,但它仍缺乏構成專業的糾錯工具與前後連貫的專業知識。大家在驚訝於ChatGPT模仿效果的同時,可能忽視了它的局限性。
如果大家全盤接受ChatGPT炒作的論點,那ChatGPT已經幾乎無所不能。從文職工作到學術論文、再到專業考試,也包括駭客們擅長的惡意軟體開發,這一切都將被ChatGPT所掌控。然而,
這種論調其實掩蓋了ChatGPT等AI工具的核心目的—並非取代人類專業知識,而是充當高效的AI助手。
ChatGPT編碼依賴專家指導
在ChatGPT發佈的幾周之後,就有多家網路安全公司發佈一系列報告,證明該機器人可能被用於編寫惡意軟體。消息一出,旋即催生了一大堆關於ChatGPT編寫「多態惡意軟體」的頭條新聞。
去年12月,Check Point的研究人員展示了ChatGPT如何從頭到尾構建惡意軟體—包括編寫網路釣魚電子郵件和惡意程式碼。然而,
要想讓它生成功能完整的程式碼,必須由專業工程師一步步提供引導和提示,例如添加沙箱檢測和檢查某項功能是否對SQL注入開放。
Check Point表示,攻擊者必須知道自己想要什麼,並指定對應的功能。單純要求其編寫惡意軟體程式碼並不能產生真正有用的結果。若單純的將ChatGPT宣傳成程式設計工具,也會低估專業工程師的專業知識要求。
對於Hutchins這樣的駭客來說,提出正確的問題就是成功的一半。Hutchins認為,ChatGPT需要在專業的程式設計人員引導下進行開發。如果缺乏程式設計經驗,攻擊者甚至不知道該給ChatGPT什麼樣的指示。
必須承認,ChatGPT目前是眾多惡意軟體發展工具中的一部分。在上周發佈的報告中,威脅情報公司Recorded Future在暗網和內部論壇中,發現了1500多個關於使用ChatGPT開發惡意軟體、創建概念驗證程式碼的參考資料。這份報告還提到,其中大部分程式碼都公開可用。
Recorded Future認為,ChatGPT對於攻擊腳本設計者、駭客行動主義者、欺詐分子/垃圾郵件發送者、信用卡欺騙者等技術水準不高的網路犯罪分子等最有幫助。
對於惡意開發領域的新手,ChatGPT也能提供一定幫助。報告總結, ChatGPT能為初學者提供即時範例、教程和資源,降低了惡意軟體發展的門檻。
ChatGPT有望降低駭客技術門檻,但掀起革命火候未足
但總體來看,惡意駭客方獲得的ChatGPT助益有限。ChatGPT雖然降低了駭客技術的學習難度和接觸門檻,但同樣的內容也完全可以在Google上輕鬆查到。
隨著ChatGPT和其他大語言模型的發展成熟,其編寫合法和惡意原始程式碼的能力也將不斷提高。但在真正的轉折來臨之前,ChatGPT等工具所發揮的仍以輔助作用為主,做不到憑空生成惡意軟體。
例如,ChatGPT確實能夠高效生成網路釣魚電子郵件。對於難以順暢使用英語(或其他目的語言)的俄語駭客來說,ChatGPT能迅速提高他們的寫作技巧。抑或學會企業CEO的文字風格,增加釣魚郵件的可信度。
專家提醒,目前絕大多數攻擊源自電子郵件,而絕大多數郵件攻擊並不屬於惡意軟體攻擊。攻擊者只是想誘導用戶提出憑證或執行轉帳操作。ChatGPT確實可以讓釣魚欺詐變得更容易。
但這只是變化中的一環,還不至於掀起駭客革命。高品質的網路釣魚郵件已經很容易製作—可以由攻擊者自己編寫,也可以在外包平臺上雇用專業編輯完成。ChatGPT的出現,只是把釣魚郵件推向了規模化時代。但專家們強調,在對ChatGPT的網路安全影響進行廣泛評估時,必須持續關注整體趨勢。
總體來說,
ChatGPT有望降低攻擊門檻、擴大惡意駭客的組織規模。目前網路上已經充斥著大量開源工具和預先打包的惡意軟體,ChatGPT的普及可能會把這些工具輕易地交付,並引導駭客在不借助任何新型惡意軟體的情況下順利完成入侵過程。
最後,專家承認AI工具處於快速變化階段,情況隨時可能不同:「一個禮拜之後,也許一切都將改變。」
本文轉載自cyberscoop.com
ChatGPT
網路釣魚
協作工具
勒索軟體
最新活動
2024.12.19
2024 企業資安前瞻論壇 : 迎向複雜資安威脅的新時代
看更多活動
大家都在看
企業 VPN 更新機制遭攻破,研究人員揭露權限提升攻擊鏈
重大供應鏈攻擊又一樁! 美國供應鏈管理軟體大廠 Blue Yonder 遭勒索攻擊,星巴克等企業營運受阻
Matrix 殭屍網路肆虐全球,藉 IoT 設備發動大規模 DDoS 攻擊
TWNIC報告:51.22%受訪者表示不信任政府有應對網路攻擊的能力
中國駭客組織「鹽颱風」利用新型 GhostSpider 後門程式攻擊電信業者
資安人科技網
文章推薦
Winos4.0透過遊戲應用程式傳播發起威脅活動
新型釣魚攻擊手法:利用損壞的 Word 文件躲避資安檢測
Palo Alto Networks 預測 2025 年資安趨勢:平台整合與AI防禦成關鍵