OpenAI 最近發佈報告,揭露自今年初以來,已阻止超過 20 宗濫用 ChatGPT 進行惡意網路行動的案例。這份報告首次正式確認主流生成式 AI 工具被用於增強網路攻擊行動。
駭客利用 ChatGPT 開發惡意程式
根據報告,駭客濫用 ChatGPT 進行惡意程式偵錯與開發、散佈錯誤資訊、規避偵測,以及進行魚叉式網路釣魚攻擊。早在 4 月,Proofpoint 就曾報導懷疑 TA547(又稱 Scully Spider)使用 AI 撰寫的 PowerShell 載入程式來部署 Rhadamanthys 資訊竊取程式。
中國和伊朗駭客組織濫用情況
OpenAI 指出,中國和伊朗的駭客組織利用 ChatGPT 來提升其行動效率。其中一個名為「SweetSpecter」的中國駭客組織,曾直接針對 OpenAI 員工發動魚叉式網路釣魚攻擊,利用偽裝成支援請求的惡意 ZIP 附件。
SweetSpecter 利用 ChatGPT 的方式
OpenAI 進一步調查發現,SweetSpecter 使用了一組 ChatGPT 帳號進行程式碼撰寫和漏洞分析研究。這突顯了 AI 工具在增強網路攻擊能力方面的潛在威脅,同時也凸顯了 AI 安全和濫用防範的重要性。
