安全研究人员诱导 ChatGPT 编写出危险的数据窃取恶意软件
2023-4-6 15:51:45 Author: hackernews.cc(查看原文) 阅读量:32 收藏

自去年推出以来,ChatGPT以其撰写文章、诗歌、电影剧本等的能力在技术爱好者中引发轰动。该人工智能工具甚至可以生成功能性代码,只要给它一个写得很好、很清晰的提示。虽然大多数开发者会将该功能用于完全无害的目的,但一份新的报告表明,尽管OpenAI设置了保障措施,它也可以被恶意行为者用来创建恶意软件。

微信截图_20230406154928

一位网络安全研究人员声称,他利用ChatGPT开发了一个零日漏洞攻击程序,可以从被攻击的设备中窃取数据。令人震惊的是,该恶意软件甚至逃避了VirusTotal上所有供应商的检测。

Forcepoint的Aaron Mulgrew说,他在恶意软件创建过程的早期就决定不自己编写任何代码,只使用先进的技术,这些技术通常是由像部分国家支持的复杂威胁行为者采用的。

Mulgrew将自己描述为恶意软件开发的”新手”,他使用的是Go执行语言,不仅因为它易于开发,而且还因为他可以在需要时手动调试代码。他还使用了隐写术,将秘密数据隐藏在普通文件或信息中,以避免被发现。

Mulgrew一开始直接要求ChatGPT开发恶意软件,但这让聊天机器人的护栏开始发挥作用,它以道德理由直截了当地拒绝执行这项任务。然后,他决定发挥创意,要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。

这一次,他的努力获得了成功,ChatGPT创造了包含入侵能力的代码,并且还绕过了VirusTotal上所有反恶意软件的检测。然而,要求编写混淆代码以避免检测被证明是棘手的,因为ChatGPT认识到这种要求是不道德的,并拒绝遵守它们。

尽管如此,Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时,有五个供应商将其标记为恶意软件。经过几次调整,代码被成功混淆,没有一个供应商将其识别为恶意软件。

微信截图_20230406154942 微信截图_20230406154951

Mulgrew说整个过程”只花了几个小时”。如果没有这个聊天机器人,他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件,并确保它能躲避安全应用程序的检测。

虽然Mulgrew创建恶意软件是为了研究目的,但他说,使用这种工具的理论上的零日攻击可以针对高价值的个人,渗透并发回计算机里的重要文件。


转自 cnBeta,原文链接:https://www.toutiao.com/article/7218626932374503975/

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/43655
如有侵权请联系:admin#unsafe.sh