|
AI大模型的快速向前奔跑���,讓我們見識到了AI的無限可能�����,但也展示了AI在虛假信息��、深度偽造和網(wǎng)絡(luò)攻擊方面的潛在威脅���。 據(jù)安全分析平臺Netenrich報道,近日���,一款名為FraudGPT的AI工具近期在暗網(wǎng)上流通�,并被犯罪分子用于編寫網(wǎng)絡(luò)釣魚電子郵件和開發(fā)惡意軟件�。 黑客在售賣頁表示,該工具可用于編寫惡意代碼��、創(chuàng)建出“一系列殺毒軟件無法檢測的惡意軟件”�����、檢測網(wǎng)站漏洞、自動進行密碼撞庫等��,并聲稱“該惡意工具目前已經(jīng)售賣了超過3000份”�。 據(jù)報道,F(xiàn)raudGPT的運作方式是通過草擬一封電子郵件��,以高度可信的方式誘使收件人單擊所提供的惡意鏈接�。它的主要功能包括: FraudGPT可以生成看似真實的網(wǎng)絡(luò)釣魚電子郵件、短信或網(wǎng)站�����,誘騙用戶泄露敏感信息�,例如登錄憑據(jù)、財務詳細信息或個人數(shù)據(jù)�����;聊天機器人可以模仿人類對話����,與毫無戒心的用戶建立信任��,導致他們在不知不覺中泄露敏感信息或執(zhí)行有害操作;FraudGPT可以創(chuàng)建欺騙性消息����,引誘用戶點擊惡意鏈接或下載有害附件,導致其設(shè)備感染惡意軟件�;人工智能驅(qū)動的聊天機器人可以幫助黑客創(chuàng)建欺詐性文件����、發(fā)票或付款請求,導致個人和企業(yè)成為金融詐騙的受害者���。據(jù)悉�����,F(xiàn)raudGPT是由名為 "CanadianKingpin" 的開發(fā)者提供�����。它主要基于GPT-3的大型語言模型��,在經(jīng)過訓練后����,可以生成合乎邏輯且與事實相符的欺詐性文本。一旦付費購買��,F(xiàn)raudGPT便可以幫助犯罪分子成功進行網(wǎng)絡(luò)釣魚和詐騙���。在發(fā)布FraudGPT后��,Canadiankingpin還創(chuàng)建了自己的電臺頻道����,宣布將提供其他欺詐服務����,包括銷售電子郵件線索、信用卡CVV碼等�。根據(jù)Canadiankingpin的描述,他目前已經(jīng)通過了EMPIRE�、WHM、TORREZ����、ALPHABAY在內(nèi)的多個暗網(wǎng)市場的供應商認證。然而由于這些暗網(wǎng)市場極強的隱蔽性和不透明性���,目前Canadiankingpin的身份依然是個謎團�,調(diào)查者也僅找到了Canadiankingpin的TikTok賬號以及相同id的Gmail郵箱。而另一個令人感到沮喪的消息是����,在經(jīng)歷了近一周的研究后�,Netrich也并未能夠?qū)崿F(xiàn)對FraudGPT背后的大語言模型的破解。雖然自FraudGPT發(fā)布僅過去了不到兩周�����,但一個明顯的事實是�����,這款“頂級AI工具”已開始被利用到了實際的犯罪行為中�����。在部分銷售FraudGPT的暗網(wǎng)中�,Canadiankingpin與一些訂閱用戶已經(jīng)分享了多起他們基于FraudGPT所實現(xiàn)的黑客活動。據(jù)Netrich統(tǒng)計�,F(xiàn)raudGPT至少自7月22日便開始在暗網(wǎng)市場和Telegram頻道中流通,訂閱費用為200美元/月��,1700美元/年�。相比于ChatGPT Plus訂閱20美元/月����,價格高了10倍����。截止目前,暗網(wǎng)上已存在了超過3000條確認的訂閱信息及評論���。事實上�,AI工具降低了網(wǎng)絡(luò)犯罪分子的進入門檻��,FraudGPT已經(jīng)不是第一起案例����。即便Claude、ChatGPT ��、Bard等AI提供商會采取一些措施來防止他們的技術(shù)被用于不良目的��,但隨著開源模型的崛起�,犯罪分子的惡意行為很難被遏制。 7 月初�����,基于開源大語言模型GPT-J開發(fā)而成,并且使用大量惡意代碼進行訓練和微調(diào)的WormGPT也曾引發(fā)關(guān)注�����。 據(jù)悉����,WormGPT擅長使用Python代碼執(zhí)行各種網(wǎng)絡(luò)攻擊�����,例如:生成木馬���、惡意鏈接�、模仿網(wǎng)站等��,其在創(chuàng)作詐騙信息和釣魚郵件等任務上所表現(xiàn)出的“卓越”能力讓人膽戰(zhàn)心驚�����。 但相比之下����,F(xiàn)raudGPT在功能豐富性和編寫惡意軟件方面的功能更強大���。 事實上,除了上文所提到的FraudGPT���、WormGPT等專為惡意活動而生的聊天機器人外���。 大語言模型本身所潛藏的風險也在不斷給安全從業(yè)者們帶來挑戰(zhàn),除了我們所熟知的幻覺問題外��,大模型脆弱的護欄也在成為網(wǎng)絡(luò)安全的一大噩夢���。 上個月ChatGPT�����、Bard等聊天機器人暴露出的“奶奶漏洞”就證明了這樣的事實�,只需要通過提示讓這些聊天機器人扮演用戶已故的祖母����,便能欺騙它們在講睡前故事的過程中透露大量限制信息,甚至是手機IMEI密碼或Windows激活秘鑰�。 除此之外,CMU和人工智能安全中心的研究員還發(fā)現(xiàn)了另一種通用方法����,只需要附加一系列特定無意義token����,就能夠生成一個prompt后綴�。 而一旦在prompt中加入這個后綴,通過對抗攻擊方式���,任何人都能破解大模型的安全措施�����,使它們生成無限量的有害內(nèi)容。 盡管在過去幾個月中�����,OpenAI��、谷歌等世界頂級科技公司都在努力為自己所研發(fā)的大模型設(shè)計更多更加完善的限制措施��,以保障模型能夠在安全穩(wěn)定的情況下工作�����。 但顯而易見的是,直至目前仍然沒有人能夠完全避免類似問題的發(fā)生��。 毋庸置疑���,無論是WormGPT ���,還是FraudGPT ,這類極具威脅性的AI工具�����,都在為促進網(wǎng)絡(luò)犯罪和詐騙“賦能”�����。 安全分析平臺Netenrich曾表示:“這項技術(shù)會降低網(wǎng)絡(luò)釣魚電子郵件和其他詐騙的門檻���。隨著時間的推移���,犯罪分子將找到更多方法來利用我們發(fā)明的工具來增強他們的犯罪能力?!?/span>當AI工具的邪惡面被淋漓盡致的展現(xiàn),再加之網(wǎng)絡(luò)攻擊「低門檻」,加強防御策略顯得尤為重要�����。為此�,有專家針對個人和企業(yè),提出了一些可采取的關(guān)鍵措施���,以確保免受 FraudGPT和類似AI工具威脅的影響�����。不要亂點擊陌生的網(wǎng)站鏈接��、郵件�,安裝未知的軟件���。同時,針對需要驗證�����、涉及敏感信息���、金融交易的意外電子郵件�,應通過官方渠道加以驗證。定期更新安全軟件��、安裝補丁并使用信譽良好的防病毒程序來防范潛在威脅����。同時,也需要了解最新的網(wǎng)絡(luò)安全實踐���,增強網(wǎng)絡(luò)攻擊的防御意識�����。不要點擊未知來源的鏈接或打開附件�����。FraudGPT可以生成指向網(wǎng)絡(luò)釣魚網(wǎng)站的逼真URL�,因此����,在點擊任何鏈接之前驗證發(fā)件人的身份至關(guān)重要。對于企業(yè)來說�,網(wǎng)絡(luò)安全最佳實踐的員工培訓至關(guān)重要���。確保員工了解潛在威脅并知道如何識別可疑活動。如果員工遇到任何可疑消息��,應該立即向IT部門報告����。AI大模型的快速發(fā)展在給諸多領(lǐng)域帶來積極影響的同時,隨著模型能力的不斷提升�,也被運用在惡意活動中,破壞力與日俱增�����。但無論是FraudGPT���、WormGPT等惡意軟件的出現(xiàn)�,還是大模型總會出現(xiàn)的幻覺�、越獄等問題,其實都不是為了告訴我們AI有多么危險�����,而是在提醒我們需要更加專注于解決現(xiàn)階段AI領(lǐng)域所存在的諸多問題�����。 正如網(wǎng)絡(luò)安全專家Rakesh Krishnan在一篇關(guān)于FraudGPT的分析博客中所寫的那樣:技術(shù)是一把雙刃劍����,網(wǎng)絡(luò)犯罪分子正在利用生成式AI的能力,而我們同樣可以利用這種能力攻克他們所提出的挑戰(zhàn)���。 技術(shù)作惡者不會停止創(chuàng)新��,我們同樣不會�。 值得欣慰的是��,目前無論在國內(nèi)外�����,政府及科技企業(yè)都在積極完善有關(guān)人工智能的監(jiān)管政策及相關(guān)法規(guī)����。 七月中旬,國家網(wǎng)信辦已聯(lián)合六部門發(fā)布了《生成式人工智能服務管理暫行辦法》���;七月底�,美國7家AI巨頭也與白宮達成協(xié)議,將為AI生成內(nèi)容添加水印�。 近來多個包含數(shù)據(jù)采集和使用不規(guī)范等問題的AIGC應用被要求在蘋果商店下架一事也證明著監(jiān)管措施正在發(fā)揮積極作用。 雖然關(guān)于人工智能�����,無論在技術(shù)還是監(jiān)管方面我們都還有很長的道路需要去探索�����,但相信隨著各界的共同努力�����,許多問題都將在不久后迎刃而解���。
|
