CheckPointResearch(CPR)警告称,黑客可能利用OpenAI的ChatGPT和Codex执行有针对性的高效网络攻击。为验证其可能性,CPR使用ChatGPT和Codex生成了恶意电子邮件、代码以及能够攻击计算机的完整感染链。
不知不觉,已经悄然而至。回顾年IT行业,基于OpenAI的ChatGPT自公测以来便吸引了全世界的目光。从情书到求职函,从道歉信到抒情诗……网友们甚至在讨论ChatGPT是否有可能成为世界最大的“搜索引擎”,甚至能否有潜力通过图灵测试。
就在人们通过ChatGPT解答各种“光怪陆离”问题的时候,CheckPoint公司的研究团队(CPR)已开始着手分析OpenAI技术对信息安全领域将产生何种影响。研究发现,借助OpenAI的ChatGPT,CPR能够创建网络钓鱼电子邮件,其中随附的Excel文档附带能够下载反向shell的恶意代码。反向shell攻击旨在连接到远程计算机并重定向目标系统shell的输入和输出连接,以便攻击者进行远程访问。
CPR使用ChatGPT的操作步骤(出于安全目的考量,CPR在分享中隐去了向ChatGPT提出的问题)
1、要求ChatGPT冒充托管公司(图1)
2、要求ChatGPT再次迭代,生成附带恶意Excel附件的网络钓鱼电子邮件(图2)
3、要求ChatGPT在Excel文档中创建恶意VBA代码(图3)
图1.通过ChatGPT生成的基本网络钓鱼电子邮件
图2.通过ChatGPT生成的迭代后的网络钓鱼电子邮件
图3.通过ChatGPT生成的简单VBA代码
这一演示表明,使用ChatGPT创建恶意网络钓鱼电子邮件和代码完全可能,不法分子的犯罪成本将再次下降,互联网用户应注意新的人工智能技术可能给网络威胁形势带来的潜在风险。
为进一步研究人工智能对互联网安全的影响,CPR团队通过同样基于OpenAI的Codex平台成功生成了恶意代码。(出于安全考量,CPR仅公布部分操作环节)在操作过程中,CPR向Codex提出要求,主要包括在一台Windows设备商执行反向shell脚本并连接到特定IP地址,以管理员身份登录、检查URL是否存在SQL注入风险,以及编写可在目标机器上运行全端口扫描的python脚本。在一系列操作以及需求修订后,Codex生成了恶意代码。
CheckPoint软件技术公司威胁情报事业部经理SergeyShykevich表示:“人工智能技术有可能显著改变网络威胁形势。现在,任何拥有最少量资源和零代码知识的人都能够轻松利用它来设计网络攻击。生成恶意电子邮件和代码变得易如反掌,黑客还可以利用ChatGPT和Codex对恶意代码进行迭代。为提醒公众,我们演示了使用ChatGPT和Codex来创建恶意邮件和代码是多么容易。我认为,人工智能技术代表着日益复杂和强大的网络能力,这些能力正在加速网络安全世界的变化。随着ChatGPT和Codex日渐成熟,用户保持警惕变得更加重要,因为类似这样的新兴技术会对随时改变网络威胁的现状。”