ChatGPT现在感觉几乎无处不在,随处可见对其能力赞叹不已的故事。我们已经了解了它如何编写音乐、渲染 3D 动画和创作音乐。如果您能想到,ChatGPT 或许可以试一试。
这正是问题所在。现在技术社区中有各种各样的问题,评论者经常担心人工智能即将导致恶意软件大灾难,即使是最聪明的黑客也会召唤出不可阻挡的特洛伊木马和勒索软件。
但这真的是真的吗?为找出答案,我与多位网络安全专家进行了交谈,了解他们如何看待 ChatGPT 的恶意软件功能,他们是否担心其被滥用的可能性,以及在这个黎明的新世界中您可以采取哪些措施来保护自己。
可疑的能力
ChatGPT 的主要吸引力之一是它能够通过几个简单的提示执行复杂的任务,尤其是在编程领域。令人担忧的是,这会降低创建恶意软件的门槛,从而可能导致依赖 AI 工具为他们完成繁重工作的病毒编写者激增。
安全公司 Intego 的首席安全分析师 Joshua Long 说明了这一点。 “就像物理世界或虚拟世界中的任何工具一样,计算机代码可以用于行善或作恶,”他解释道。 “例如,如果你请求可以加密文件的代码,像 ChatGPT 这样的机器人就无法知道你的真实意图。如果你声称你需要加密代码来保护你自己的文件,机器人就会相信你——即使你的真正目标是创建勒索软件。”
ChatGPT 有各种保护措施来打击这类事情,而病毒制造者的诀窍就是绕过这些保护措施。直截了当地要求 ChatGPT 创建一个有效的病毒,它会简单地拒绝,要求您发挥创造力以智胜它,并让它按照您的吩咐违背它更好的判断。考虑到人们在 ChatGPT 中越狱后可以做什么,从理论上讲,使用 AI 创建恶意软件的可能性似乎是可能的。事实上,它已经被证明,所以我们知道这是可能的。
但并不是每个人都感到恐慌。 Bitdefender 的技术解决方案总监 Martin Zugec 认为风险仍然很小。 “大多数新手恶意软件编写者不太可能具备绕过这些安全措施所需的技能,因此目前聊天机器人生成的恶意软件带来的风险仍然相对较低,”他说。
“聊天机器人生成的恶意软件最近一直是讨论的热门话题,”Zugec 继续说道,“但目前没有证据表明它在不久的将来会构成重大威胁。”原因很简单。根据 Zugec 的说法,“聊天机器人生成的恶意软件代码的质量往往很低,因此对于可以在公共代码存储库中找到更好示例的经验丰富的恶意软件编写者而言,它不是一个有吸引力的选择。”
因此,虽然让 ChatGPT 编写恶意代码当然是可能的,但任何拥有操作人工智能聊天机器人所需技能的人都可能对其创建的糟糕代码不以为然,Zugec 认为。
但正如您可能猜到的那样,生成式 AI 才刚刚起步。对 Long 来说,这意味着 ChatGPT 带来的黑客攻击风险还不是一成不变的。
“基于 LLM 的 AI 机器人的兴起可能会导致新恶意软件的小到中度增加,或者恶意软件功能和防病毒规避的改进,”Long 说,他使用了 AI 的大型语言模型的首字母缩写词ChatGPT 之类的工具用来积累知识。 “不过,目前尚不清楚像 ChatGPT 这样的工具对现实世界的恶意软件威胁产生或将产生多大的直接影响。”
钓鱼者的朋友
如果 ChatGPT 的代码编写技能还没有达到标准,它是否会以其他方式构成威胁,例如编写更有效的网络钓鱼和社会工程活动?在这里,分析师们一致认为,滥用的可能性要大得多。
对于许多公司来说,一个潜在的攻击媒介是公司的员工,他们可能会被欺骗或操纵,无意中提供他们不应该访问的地方。黑客知道这一点,并且已经发生了很多被证明是灾难性的高调社会工程攻击。例如,据认为,朝鲜的 Lazarus Group 在 2014 年开始入侵索尼的系统——导致未发行的电影和个人信息泄露——通过冒充招聘人员并让索尼员工打开受感染的文件。
这是 ChatGPT 可以极大地帮助黑客和网络钓鱼者改进工作的一个领域。例如,如果英语不是威胁行为者的母语,他们可以使用 AI 聊天机器人为他们编写一封旨在针对说英语的人的令人信服的网络钓鱼电子邮件。或者它可以用来快速创建大量令人信服的消息,所花的时间比人类威胁行为者完成相同任务所花费的时间要少得多。
当其他人工智能工具混入其中时,情况可能会变得更糟。正如 Karen Renaud、Merrill Warkentin 和 George Westerman 在麻省理工学院的《斯隆管理评论》中所假设的那样,欺诈者可以使用 ChatGPT 生成脚本,并让假冒公司 CEO 的深度伪造声音通过电话朗读该脚本。对于接听电话的公司员工来说,声音听起来和行为就像他们的老板一样。如果那个声音要求员工将一笔钱转入一个新的银行账户,由于他们对老板的尊重,员工很可能会上当。
正如 Long 所说,“[威胁演员] 不再需要依靠自己的(通常是不完美的)英语技能来编写令人信服的诈骗电子邮件。他们甚至不必想出自己巧妙的措辞并通过谷歌翻译来运行它。相反,ChatGPT——完全没有意识到请求背后的潜在恶意——会很乐意用任何想要的语言编写诈骗电子邮件的全部文本。”
让 ChatGPT 实际执行此操作所需的只是一些巧妙的提示。
ChatGPT 可以提高您的网络安全吗?
然而,这并不全是坏事。使 ChatGPT 成为对威胁行为者具有吸引力的工具的相同特征——它的速度、发现代码缺陷的能力——使其成为网络安全研究人员和反病毒公司的有用资源。
Long 指出,研究人员已经在使用 AI 聊天机器人来查找代码中尚未发现的(“零日”)漏洞,只需上传代码并询问 ChatGPT,看看它是否能发现任何潜在的漏洞。这意味着可以使用可能削弱防御的相同方法来支撑它们。
虽然 ChatGPT 对威胁行为者的主要吸引力可能在于它能够编写似是而非的网络钓鱼消息,但这些相同的才能可以帮助培训公司和用户注意什么,以避免自己被骗。它还可用于对恶意软件进行逆向工程,帮助研究人员和安全公司快速制定对策。
归根结底,ChatGPT 本身并无好坏之分。正如 Zugec 指出的那样,“人工智能可以促进恶意软件开发的论点可以适用于任何其他使开发人员受益的技术进步,例如开源软件或代码共享平台。”
换句话说,只要保障措施不断改进,即使是最好的人工智能聊天机器人所构成的威胁也可能永远不会像最近预测的那样危险。
如何保证自己的安全
如果您担心 AI 聊天机器人带来的威胁以及它们可能被滥用来创建的恶意软件,您可以采取一些措施来保护自己。 Zugec 表示,采用“多层防御方法”非常重要,其中包括“实施端点安全解决方案,使软件和系统保持最新状态,并对可疑消息或请求保持警惕。”
同时,Long 建议避开在访问网站时自动提示您安装的文件。在更新或下载应用程序时,请从软件供应商的官方应用程序商店或网站获取。在点击搜索结果或登录网站时要小心——黑客只需付费将他们的诈骗网站放在搜索结果的顶部,然后通过精心设计的相似网站窃取您的登录信息。
ChatGPT 不会去任何地方,在全世界造成如此大破坏的恶意软件也不会。虽然 ChatGPT 的编码能力带来的威胁目前可能被夸大了,但它在制作网络钓鱼电子邮件方面的熟练程度可能会导致各种令人头疼的问题。然而,保护自己免受它构成的威胁并确保您不成为受害者是很有可能的。现在,充分的谨慎——以及可靠的防病毒应用程序——可以帮助确保你的设备安全无虞。