攻击者已利用ChatGPT编写恶意代码

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

自OpenAI 在2022年11月发布ChatGPT以来，安全研究人员就预测称，网络犯罪分子开始利用这个AI聊天机器人编写恶意软件和执行其它恶意活动就只是时间问题。就在几周后，貌似这个时间已到。

Check Point Research (CPR) 的研究人员指出，至少在地下论坛发现三个黑帽黑客利用ChatGPT 实施恶意目的的实例。

ChatGPT 是一款AI驱动的原型聊天机器人，适用于大量用例，包括代码开发和调试。它的主要亮点之一是能够使用户以对话方式与之交互，并获得在所有领域的协助，如编写软件、理解复杂主题、编写论文和邮件、提升客户服务以及测试不同的商业或市场场景等。

但ChatGPT也可用于恶意场景。

从编写恶意软件到创建暗网市场

在一个场景中，恶意软件作者在其它网络犯罪分子使用的论坛中披露了自己如何和ChatGPT进行试验，查看自己能否重新创建已知恶意软件和技术。例如，他通过ChatGPT分享了自己开发的基于 Python的信息窃取器，可从受感染系统中搜索、复制并提取12种常见的文件类型如Office 文档、PDF和镜像等。这个恶意软件作者还展示了如何使用ChatGPT编写Java代码，下载PuTTY SSH 和远程登录客户端，并通过PowerShell 在系统上静默运行。

2022年12月21日，昵称为 “USDoD”的威胁行动者贴出一个通过ChatGPT生成的Python 脚本，通过Blowfish和Twofish 加密算法加密和解密数据。CPR研究人员发现虽然该代码可用于非恶意目的，但威胁行动者可轻松修改在无需用户交互的情况下在系统运行，将其修改为勒索软件。和信息窃取工具的作者不同，USDoD 的技术能力似乎非常有限，并且生成自己生成的 Python 脚本是自己生成的第一个脚本。

在第三个案例中，研究人员发现一名网络犯罪分子讨论自己如何使用ChatGPT创建了完全自动化的暗网市场，可用于交易被盗银行卡和支付卡数据、恶意软件工具、毒品、弹药和多种其它非法商品。

研究人员指出，“为了展示如何将ChatGPT用于这些恶意目的，该犯罪分子发布了一份代码，它通过第三方API 获得当前的加密密币价格作为暗网市场支付系统的一部分。”

无需任何经验

自去年11月份推出ChatGPT以来，关于遭滥用的话题就一直不断。很多安全研究员认为ChatGPT 大大降低了编写恶意软件的难度门槛。

Check Point 公司的威胁情报团队经理 Sergey Shykevich 重申，恶意人员无需任何编程经验就能够通过ChatGPT编写恶意软件，“你应该只需知道恶意软件或任何程序应该具备的功能，ChatGPT就能够替你编写代码，执行所需功能。”因此，“短期担忧绝对和ChatGPT允许低技能网络犯罪分子开发恶意软件有关。长期来看，我认为更多高技能网络犯罪分子会通过ChatGPT 改进活动效率或者解决可能具有的不同差距。”

从攻击者角度来看，AI代码生成系统可使恶意人员通过ChatGPT这一语言之间的翻译来缩短任何技能缺口。这类工具提供了创建与攻击者目标相关的代码模板的按需模式，并削减了通过开发者网站如 Stack Overflow 和 Git等搜索的需求。

甚至在发现ChatGPT 遭滥用之前，研究人员就说明了竞争对手可如何将其用于恶意活动中。2022年12月19日，Check Point 公司发布一篇博客文章，说明了研究人员如何仅通过要求ChatGPT 编写看似来自虚构的网络托管服务，就创建了一份非常具有说服力的钓鱼邮件。研究人员还展示了如何让ChatGPT 编写可复制到Excel 中的VBS代码，用于从远程URL中下载可执行文件。这一演练的目标是展示攻击者如何利用ChatGPT等人工智能模型，执行多种活动如鱼叉式钓鱼邮件创建完整的感染链、在受感染系统上运行反向shell等。