全球报道:微软押注、亚马逊翻牌,ChatGPT却要被黑客玩坏了?
眼下,ChatGPT的热度不减。成为互联网的焦点。
前有微软计划投资100亿美元入股ChatGPT的母公司OpenAI,意欲将其整合到旗下必应、办公软件等产品中,后有亚马逊在多个工作职能中启用ChatGPT。
而“美版今日头条”BuzzFeed宣布未来将使用ChatGPT帮助创作内容,消息一出市值当天暴涨119.88%,好不热闹。
【资料图】
随之而来的是,黑客也有了浓厚的兴趣。
日前,Check Point Research发出安全警告,称黑客可能利用炙手可热的ChatGPT发动高效的网络攻击。
那么,ChatGPT真能被非法利用?如若小白借其也能炮制病毒,黑客会不会要“失业”了?黑客进入AI时代,普通人该不该慌?
人工智能成为黑客的新“玩具”
“调戏”ChatGPT,可谓风靡一时。
既可以聊天对答如流,又可以智能翻译外文,还可以自动生成文案,更可以编写代码,堪称一个“多面手”。
万万没想到,ChatGPT被“玩坏”了。
据公开资料显示,知名黑客USDoD之前从未涉足脚本,好奇心驱使之下借助 ChatGPT生成了人生*个可以执行加解密功能的Python脚本,虽然加解密属于中性功能,但稍加改造就可以变成勒索病毒。
这意味着,黑客有了别样的心思。
这并非耸人听闻,一个名为《ChatGPT–Benefits of Malware》的帖子在黑客圈广为流传,帖子中展示了一个Java片段,可以用来下载盗号木马、勒索病毒、流氓软件等恶意程序。
换而言之,利用 ChatGPT 炮制病毒是行得通的。
而Check Point Research则有更进一步的研究:先是要求ChatGPT冒充托管公司,接着令其生成附带恶意Excel的电子邮件,该Excel被激活后可以下载恶意代码,恶意代码可以协助黑客完成远程访问,从而控制电脑或服务器。
上述模拟攻击表明,尽管ChatGPT 条款禁止将其用于非法或恶意目的,但只要黑客愿意绕过限制不费吹灰之力。
对此,知名互联网科技博主RevengeRangers表示:“还真有人用ChatGPT写木马,还广泛植入并且被安全厂商抓住分析了。”
以上可见,人工智能成为黑客的新“玩具”,一个新的时代来了。
更为关键的是,入侵成本大大降低。
一名渗透测试工程师告诉锌刻度:“这是一个危险的信号,当年黑客工具大众化就拉低了门槛,现在小白可以涉及代码层面,门槛再度拉低。”
于是乎,黑客未来或“失业”的声音渐起。
ChatGPT并不能颠覆黑客生态
不过,上述声音并未得到主流认可。
一名要求匿名的黑客告诉锌刻度:“脱壳技术出现,你们说黑客要完蛋;虚拟机杀毒诞生,你们说黑客要完蛋;云杀毒面世,你们说黑客要完蛋;现在轮到ChatGPT了,你们又说黑客要完蛋;说白了,不就是内心盼着黑客完蛋嘛!”
该匿名黑客在大学期间就迷上了黑客技术,从此打开了一个新世界的大门。
彼时,其迷上了QQ盗号。
之所以如此,是为了向同学炫耀,并没有其他目的,如今引以为耻,且对这段“黑历史”其讳莫如深,“年轻的时候什么也不懂,仗着键盘记录器整蛊同学,觉得好威风、好神奇”。
从黑客工具起步,一步一步深入黑客技术一二十年,早已今非昔比。
“ChatGPT说到底就是一个提升效率的工具,而这类工具比比皆是,以前就有病毒自动生成器,也没见黑客‘失业’了。”该匿名黑客认为不存在威胁,“与其说ChatGPT可以取代黑客,不如说可以取代翻译,足以让普通人无障碍阅读任何外文,以后的小孩没必要外语学那么深。”
简而言之,ChatGPT并不能颠覆黑客生态。
资深病毒专家王磊告诉锌刻度:“会写病毒代码,既重要,也不重要,关键在于有没有编码思维、有没有逻辑思维,这是一个相当复杂的问题,ChatGPT是搞不定的,最起码现在看不到这种趋势。”
王磊进一步表示,初次尝鲜ChatGPT时颇为惊艳,似乎什么都懂,连病毒代码中的语法错误也可以纠正,大有一副“你负责创意,我负责重复劳动”的派头。
上手之后,认为不过如此。
当下,ChatGPT尚无法解决免杀的问题,而病毒如果不能免杀,则没有生存空间。
据公开数据显示,2003年~2009年为国内病毒最为猖狂的时期,一年新增病毒数量可超4000万个,杀毒软件非但疲于奔命,在与病毒对抗之时总是慢半拍。
直到2009年,云杀毒技术面世,才出现了转机。
云杀毒的精髓为杀毒软件用户数量越多,搜集可疑文件的速度就越多,预警及查杀新病毒的响应时间就越短。
如此一来,病毒的生存周期大为缩短,甚至一个小时不到就能被杀毒软件识破真面目,从而病毒的主动权逐步丧失。
由此可见,免杀对病毒的重要性不言而喻。
问题在于,无论是加花免杀、或是加壳免杀,再或是修改特征码,另或是行为免杀等,ChatGPT现阶段均搞不定。
“ChatGPT未来搞定基础的通用代码应该问题不大,但高级的商用代码还是离不开人,说白了ChatGPT相当于一个游戏引擎,可以节省许多琐碎的开放工作,但不能直接自动生成一个复杂的大型游戏。”王磊如是说。
普通人化身“黑客”易如反掌?
尽管如此,仍有声音认为利用ChatGPT作恶,只是时间问题。
一名业内人士表示,钓鱼攻击原本就比病毒攻击更容易实现,ChatGPT助力之下门槛更低、上手更容易,不排除未来普通人也有非分之想。
Picus Security联合创始人苏莱曼·奥扎斯兰表示:“输入了一个提示,要求ChatGPT写一封世界杯主题的电子邮件,用于网络钓鱼模拟,结果它在短短几秒钟内就用*的英文创建完成了一封。”
实际上,之前的世界杯,钓鱼攻击翻倍。
譬如,有不法分子创建仿冒的世界杯钓鱼网站,有不法分子创建仿冒的世界杯钓鱼网站,骗取用户输入的账号和密码,再利用个人信息骗取官方的赠品。
一名行业人士表示:“在网络安全方面,ChatGPT 可以为攻击者提供比目标更多的东西,对于商业电子邮件来说尤其如此,这种攻击依赖于使用欺骗性内容来冒充同事、公司 VIP、供应商甚至客户。”
来自微软旗下网络安全公司RiskIQ的数据表明,网络安全问题导致全世界企业的损失每分钟达到180万美元,一年下来这一损失接近1万亿美金。
一言以蔽之,人工智能时代,普通人哪怕没有代码知识,也不懂黑客技术,化身“黑客”也易如反掌。
不过,也有不同的声音。
通过威胁情报收集、病毒代码样本分析、漏洞报告自动编写等,ChatGPT 也可成为安全防御的“利器”。
对此,游侠安全网站长、首席信息安全官网创始人张百川公开表示:“以后这个接口可以卖给安全公司,安全公司可以用来作木马分析,以前要靠人工的现在接口就搞定了,用魔法打败魔法,让它左右手互搏。”
总而言之,ChatGPT是一个新鲜事物,黑客对其感兴趣,安全厂商也对其兴趣,未来ChatGPT会成为谁的武器,尚无法下结论。
*可以确定的是,大家处于同一技术起跑线。