Check Point Research (CPR) 警告稱,黑客可能利用 OpenAI 的 ChatGPT 和 Codex 執行有針對性的高效網絡攻擊。為驗證其可能性,CPR 使用 ChatGPT 和 Codex 生成了惡意電子郵件、代碼以及能夠攻擊計算機的完整感染鏈。
不知不覺,2023已經悄然而至。回顧2022年IT行業,基于OpenAI的ChatGPT自公測以來便吸引了全世界的目光。從情書到求職函,從道歉信到抒情詩……網友們甚至在討論ChatGPT是否有可能成為世界最大的“搜索引擎”,甚至能否有潛力通過圖靈測試。
就在人們通過ChatGPT解答各種“光怪陸離”問題的時候,Check Point公司的研究團隊(CPR)已開始著手分析OpenAI技術對信息安全領域將產生何種影響。研究發現,借助 Open AI 的 ChatGPT,CPR 能夠創建網絡釣魚電子郵件,其中隨附的 Excel 文檔附帶能夠下載反向 shell 的惡意代碼。反向 shell 攻擊旨在連接到遠程計算機并重定向目標系統 shell 的輸入和輸出連接,以便攻擊者進行遠程訪問。
CPR使用 ChatGPT 的操作步驟 (出于安全目的考量,CPR在分享中隱去了向ChatGPT提出的問題)
1、要求 ChatGPT 冒充托管公司(圖 1)
2、要求 ChatGPT 再次迭代,生成附帶惡意 Excel 附件的網絡釣魚電子郵件(圖 2)
3、要求 ChatGPT 在 Excel 文檔中創建惡意 VBA 代碼(圖 3)
圖 1.通過 ChatGPT 生成的基本網絡釣魚電子郵件
圖 2.通過 ChatGPT 生成的迭代后的網絡釣魚電子郵件
圖 3.通過 ChatGPT 生成的簡單 VBA 代碼
這一演示表明,使用 ChatGPT 創建惡意網絡釣魚電子郵件和代碼完全可能,不法分子的犯罪成本將再次下降,互聯網用戶應注意新的人工智能技術可能給網絡威脅形勢帶來的潛在風險。
為進一步研究人工智能對互聯網安全的影響,CPR團隊通過同樣基于OpenAI的Codex平臺成功生成了惡意代碼。(出于安全考量,CPR僅公布部分操作環節)在操作過程中,CPR 向 Codex 提出要求,主要包括在一臺 Windows 設備商執行反向 shell 腳本并連接到特定 IP 地址,以管理員身份登錄、檢查 URL 是否存在 SQL 注入風險,以及編寫可在目標機器上運行全端口掃描的 python 腳本。在一系列操作以及需求修訂后,Codex 生成了惡意代碼。
Check Point 軟件技術公司威脅情報事業部經理 Sergey Shykevich表示:“人工智能技術有可能顯著改變網絡威脅形勢。現在,任何擁有最少量資源和零代碼知識的人都能夠輕松利用它來設計網絡攻擊。生成惡意電子郵件和代碼變得易如反掌,黑客還可以利用 ChatGPT 和 Codex 對惡意代碼進行迭代。為提醒公眾,我們演示了使用 ChatGPT 和 Codex 來創建惡意郵件和代碼是多么容易。我認為,人工智能技術代表著日益復雜和強大的網絡能力,這些能力正在加速網絡安全世界的變化。隨著 ChatGPT 和 Codex 日漸成熟,用戶保持警惕變得更加重要,因為類似這樣的新興技術會對隨時改變網絡威脅的現狀。”
