据报道,一名自称新手的人仅使用ChatGPT提示就创建了一个功能强大的数据挖掘恶意软件,所有这一切都在几个小时内完成。
Forcepoint 安全研究员 Aaron Mulgrew 最近分享了他如何专门在OpenAI 的生成聊天机器人上创建零日恶意软件。虽然 OpenAI 可以防止任何人试图要求 ChatGPT 编写恶意代码,但 Mulgrew 通过提示聊天机器人逐个函数创建单独的恶意代码行来发现漏洞。
在编译了各个函数之后,Mulgrew 在他手上创建了一个几乎无法检测到的数据窃取可执行文件。这也不是普通的恶意软件——该恶意软件与任何民族国家攻击一样复杂,能够逃避所有基于检测的供应商。
同样重要的是,Mulgrew 的恶意软件如何从“常规”民族国家迭代中推迟,因为它不需要黑客团队(以及一小部分时间和资源)来构建。 Mulgrew 自己没有编写任何代码,他只用了几个小时就准备好了可执行文件,而不是通常需要几周的时间。
Mulgrew 恶意软件(它听起来很漂亮,不是吗?)将自己伪装成屏幕保护程序应用程序(SCR 扩展),然后在 Windows 上自动启动。然后,该软件将筛选文件(例如图像、Word 文档和 PDF)以窃取数据。令人印象深刻的部分是恶意软件(通过隐写术)会将窃取的数据分解成更小的部分,并将它们隐藏在计算机上的图像中。然后将这些图像上传到 Google 云端硬盘文件夹,这一过程可以避免被发现。
同样令人印象深刻的是,Mulgrew 能够使用 ChatGPT 上的简单提示改进和加强他的代码以防止检测,这确实提出了使用 ChatGPT 的安全性问题。运行早期的 VirusTotal 测试发现恶意软件被 69 种检测产品中的 5 种检测到。随后没有任何产品检测到他的代码的更高版本。
请注意,Mulgrew 创建的恶意软件是一个测试,并不公开。尽管如此,他的研究表明,几乎没有高级编码经验的用户可以轻松绕过 ChatGPT 薄弱的保护,甚至无需输入一行代码即可轻松创建危险的恶意软件。
但这是所有这一切的可怕部分:这些类型的代码通常需要更大的团队数周的时间来编译。如果邪恶的黑客已经在我们说话时通过 ChatGPT 开发类似的恶意软件,我们不会感到惊讶。