一名研究人员使用ChatGPT创建了危险的窃取数据恶意软件
自去年推出以来,ChatGPT凭借其撰写文章、诗歌、电影剧本等功能在科技爱好者中引起了轰动。AI工具甚至可以生成功能代码,只要给它一个良好的编写和清晰的提示。虽然大多数开发人员将该功能用于完全无害的目的,但一份新的报告表明,尽管OpenAI已经采取了安全措施,但恶意行为者也可能利用该功能创建恶意软件。
一名网络安全研究人员声称,已经使用ChatGPT开发了一个漏洞软件,可以从受损设备窃取数据。令人担忧的是,恶意软件甚至在VirusTotal上躲过了所有供应商的检测。
Forcepoint的Aaron Mulgrew说,他在恶意软件开发过程的早期就决定不自己编写任何代码,只使用复杂威胁行为者使用的高级技术。
Mulgrew将自己描述为恶意软件开发的“新手”,他说他使用Go实现语言不仅是因为它易于开发,还因为如果需要,他可以手动调试代码。他还使用了隐写术,将秘密数据隐藏在常规文件或信息中,以避免被发现。
马格鲁一开始直接要求ChatGPT开发恶意软件,但这让聊天机器人的护栏开始行动,它直接了当地以道德为由拒绝执行这项任务。然后,他决定发挥创意,要求AI工具在手动将整个可执行文件组合在一起之前生成一小段辅助代码。
这一次,他的努力取得了成功,ChatGPT创建了有争议的代码,绕过了VirusTotal上所有反恶意软件应用程序的检测。然而,混淆代码以避免检测被证明是棘手的,因为ChatGPT认为这样的请求是不道德的,并拒绝遵守它们。
不过,马格鲁只尝试了几次就做到了。该恶意软件第一次上传到VirusTotal时,有五家供应商将其标记为恶意软件。经过几次调整后,代码被成功混淆,没有任何供应商将其识别为恶意软件。
马格鲁说,整个过程只花了“几个小时”。他认为,如果没有聊天机器人,一个由5-10名开发人员组成的团队将需要数周时间来制作恶意软件,并确保它可以逃避安全应用程序的检测。
虽然Mulgrew创建这个恶意软件是为了研究目的,但他说,理论上使用这种工具的零日攻击可以针对高价值的个人,以窃取C盘上的关键文件。