自去年推出以來,ChatGPT以其撰寫文章、詩歌、電影劇本等的能力在技術愛好者中引發轟動。該人工智能工具甚至可以生成功能性代碼,隻要給它一個寫得很好、很清晰的提示。雖然大多數開發者會將該功能用於完全無害的目的,但一份新的報告表明,盡管OpenAI設置保障措施,它也可以被惡意行為者用來創建惡意軟件。
一位網絡安全研究人員聲稱,他利用ChatGPT開發一個零日漏洞攻擊程序,可以從被攻擊的設備中竊取數據。令人震驚的是,該惡意軟件甚至逃避VirusTotal上所有供應商的檢測。
Forcepoint的Aaron Mulgrew說,他在惡意軟件創建過程的早期就決定不自己編寫任何代碼,隻使用先進的技術,這些技術通常是由像部分國傢支持的復雜威脅行為者采用的。
Mulgrew將自己描述為惡意軟件開發的"新手",他使用的是Go執行語言,不僅因為它易於開發,而且還因為他可以在需要時手動調試代碼。他還使用隱寫術,將秘密數據隱藏在普通文件或信息中,以避免被發現。
Mulgrew一開始直接要求ChatGPT開發惡意軟件,但這讓聊天機器人的護欄開始發揮作用,它以道德理由直截當地拒絕執行這項任務。然後,他決定發揮創意,要求人工智能工具在手動將整個可執行程序放在一起之前生成小段的輔助代碼。
這一次,他的努力獲得成功,ChatGPT創造包含入侵能力的代碼,並且還繞過VirusTotal上所有反惡意軟件的檢測。然而,要求編寫混淆代碼以避免檢測被證明是棘手的,因為ChatGPT認識到這種要求是不道德的,並拒絕遵守它們。
盡管如此,Mulgrew在隻做幾次嘗試後就能做到這一點。該惡意軟件第一次被上傳到VirusTotal時,有五個供應商將其標記為惡意軟件。經過幾次調整,代碼被成功混淆,沒有一個供應商將其識別為惡意軟件。
Mulgrew說整個過程"隻花幾個小時"。如果沒有這個聊天機器人,他相信一個由5-10名開發人員組成的團隊會花上幾周時間來制作這個惡意軟件,並確保它能躲避安全應用程序的檢測。
雖然Mulgrew創建惡意軟件是為研究目的,但他說,使用這種工具的理論上的零日攻擊可以針對高價值的個人,滲透並發回計算機裡的重要文件。