攻击者已利用ChatGPT编写恶意代码

2f2084cc3a0b4926f982f18d54f06932.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

自OpenAI 在2022年11月发布ChatGPT以来,安全研究人员就预测称,网络犯罪分子开始利用这个AI聊天机器人编写恶意软件和执行其它恶意活动就只是时间问题。就在几周后,貌似这个时间已到。

Check Point Research (CPR) 的研究人员指出,至少在地下论坛发现三个黑帽黑客利用ChatGPT 实施恶意目的的实例。

ChatGPT 是一款AI驱动的原型聊天机器人,适用于大量用例,包括代码开发和调试。它的主要亮点之一是能够使用户以对话方式与之交互,并获得在所有领域的协助,如编写软件、理解复杂主题、编写论文和邮件、提升客户服务以及测试不同的商业或市场场景等。

但ChatGPT也可用于恶意场景。

b09d8f315f0e4170baf59d404df33ee4.png

从编写恶意软件到创建暗网市场

在一个场景中,恶意软件作者在其它网络犯罪分子使用的论坛中披露了自己如何和ChatGPT进行试验,查看自己能否重新创建已知恶意软件和技术。例如,他通过ChatGPT分享了自己开发的基于 Python的信息窃取器,可从受感染系统中搜索、复制并提取12种常见的文件类型如Office 文档、PDF和镜像等。这个恶意软件作者还展示了如何使用ChatGPT编写Java代码,下载PuTTY SSH 和远程登录客户端,并通过PowerShell 在系统上静默运行。

2022年12月21日,昵称为 “USDoD”的威胁行动者贴出一个通过ChatGPT生成的Python 脚本,通过Blowfish和Twofish 加密算法加密和解密数据。CPR研究人员发现虽然该代码可用于非恶意目的,但威胁行动者可轻松修改在无需用户交互的情况下在系统运行,将其修改为勒索软件。和信息窃取工具的作者不同,USDoD 的技术能力似乎非常有限,并且生成自己生成的 Python 脚本是自己生成的第一个脚本。

在第三个案例中,研究人员发现一名网络犯罪分子讨论自己如何使用ChatGPT创建了完全自动化的暗网市场,可用于交易被盗银行卡和支付卡数据、恶意软件工具、毒品、弹药和多种其它非法商品。

研究人员指出,“为了展示如何将ChatGPT用于这些恶意目的,该犯罪分子发布了一份代码,它通过第三方API 获得当前的加密密币价格作为暗网市场支付系统的一部分。”

dc2b46eabd95369ec232d471d052dff9.png

无需任何经验

自去年11月份推出ChatGPT以来,关于遭滥用的话题就一直不断。很多安全研究员认为ChatGPT 大大降低了编写恶意软件的难度门槛。

Check Point 公司的威胁情报团队经理 Sergey Shykevich 重申,恶意人员无需任何编程经验就能够通过ChatGPT编写恶意软件,“你应该只需知道恶意软件或任何程序应该具备的功能,ChatGPT就能够替你编写代码,执行所需功能。”因此,“短期担忧绝对和ChatGPT允许低技能网络犯罪分子开发恶意软件有关。长期来看,我认为更多高技能网络犯罪分子会通过ChatGPT 改进活动效率或者解决可能具有的不同差距。”

从攻击者角度来看,AI代码生成系统可使恶意人员通过ChatGPT这一语言之间的翻译来缩短任何技能缺口。这类工具提供了创建与攻击者目标相关的代码模板的按需模式,并削减了通过开发者网站如 Stack Overflow 和 Git等搜索的需求。

甚至在发现ChatGPT 遭滥用之前,研究人员就说明了竞争对手可如何将其用于恶意活动中。2022年12月19日,Check Point 公司发布一篇博客文章,说明了研究人员如何仅通过要求ChatGPT 编写看似来自虚构的网络托管服务,就创建了一份非常具有说服力的钓鱼邮件。研究人员还展示了如何让ChatGPT 编写可复制到Excel 中的VBS代码,用于从远程URL中下载可执行文件。这一演练的目标是展示攻击者如何利用ChatGPT等人工智能模型,执行多种活动如鱼叉式钓鱼邮件创建完整的感染链、在受感染系统上运行反向shell等。

ca272df10799b2531f224733beaf6f2f.png

让网络犯罪分子更难以利用

OpenAI和其它类似工具的开发人员已通过过滤器和控制来尝试限制对技术的滥用。至少目前来看,这些AI工具仍然存在一些问题并易出现很多研究人员说的彻底错误,这样可阻止一些恶意行为。即便如此,很多人认为长期来看,这些技术遭滥用的可能性仍然很大。

为使犯罪分子更难以滥用这些技术,开发人员将需要训练和改进AI引擎,识别可遭恶意滥用的请求。其它选择是执行使用该引擎的认证和授权要求。即使是执行目前在线金融机构和支付系统在使用的要求也已足够。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com


推荐阅读

堪比“震网”:罗克韦尔PLC严重漏洞可导致攻击者在系统中植入恶意代码

恶意软件利用合法的代码签名证书横行Windows 系统

速修复!热门代码覆盖率测试工具 Codecov 的脚本遭恶意修改,敏感信息被暴露

美国或将禁止出口人工智能等敏感技术

开源软件源代码安全缺陷分析报告——人工智能类开源软件专题

微软为Win 10增加基于人工智能的高级杀毒软件

原文链接

https://www.darkreading.com/attacks-breaches/attackers-are-already-exploiting-chatgpt-to-write-malicious-code

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

f76b265e09e80a91fa61295da91535a1.jpeg

734d088c6c456f7f36699ae02f720e0f.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   41e5258bd5e787a19c3b47bc9ca4d453.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/1587.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

玩转ChatGPT:辅助编程

一、写在前面 首先让小Chat介绍自己在编程方面的天赋: 总结起来:TA掌握了海量的编程知识,能做到自动代码生成、代码审查优化、编程教学辅导以及实时问题解答。我问TA学习了多少案例,TA说:忘了,但保证够用。…

pytorch--在本地搭建chatGpt简化版,实现聊天,写代码功能

文章目录 前言效果搭建环境安装编译环境安装anaconda,python3.8.8环境安装vs2019vs2019安装完毕后开始安装cuda安装cudnn安装pytorch 前言 体验了一下new bing,很不错,但是最近觉得这种模型还是搭建在自己电脑上最好,看了下githu…

ChatGPT写SQL代码实测:这种程序员可能被AI替代

最近2个月,ChatGPT成了头牌“网红”,潮人必去的网络“打卡圣地”。 根据Sensor Tower公布的数据,过去2个月时间里,ChatGPT月活就过亿了,成为历史上增长最快的消费者应用程序,排在后面的抖音海外版Tiktok、…

【使用ChatGPT写思维导图】

内容目录 一、利用ChatGPT生成思维导图内容1. 打开ChatGPT:2. 输入需求:3. 复制: 二、制作生成思维导图1. 打开思维导图制作网站:2. 网页版下侧 - Try it out → - 粘贴Markdown内容,就会自动生成。3. 自行下载。 一、…

ChatGPT写代码水平惊艳到我,很性感但有点危险

这几天属实是被ChatGPT刷屏了,十年寒窗无人问,一举成名天下知。不少人和ChatGPT对话后,都觉得自己像个傻逼。这位“最强懂哥”可以轻松应答各种问题,给出的答案不仅条理清晰,还会引用例子支撑观点。让它帮忙写程序&…

手把手教你用ChatGPT写代码:无需学编程,也能用Python代码提高效率!

前言 大家都知道编程的重要性。 但是对我们普通人来说,编程的门槛很高,学习曲线长,导致很多人都是“从入门到放弃”:自己写不会,雇人写太贵。 直到ChatGPT出世,让不会编程、但是又想享受编程带来便利&am…

用 ChatGPT 写代码,效率杠杠的!

来源:https://www.cnblogs.com/scy251147/p/17242557.html ChatGPT出来好久了,vscode上面由于集成了相关的插件,所以用起来很简单,经过本人深度使用后,发觉其能力的强大之处,在书写单元测试,书…

【关于ChatGPT的30个问题】16、ChatGPT在语言理解方面的能力如何?/ By 禅与计算机程序设计艺术

16、ChatGPT在语言理解方面的能力如何? 目录 16、ChatGPT在语言理解方面的能力如何? ChatGPT在语言理解方面的能力

【关于ChatGPT的30个问题】10、ChatGPT与其他自然语言处理技术的区别是什么?/ By 禅与计算机程序设计艺术

10、ChatGPT与其他自然语言处理技术的区别是什么? 目录 10、ChatGPT与其他自然语言处理技术的区别是什么?

【关于ChatGPT的30个问题】5、ChatGPT的语言支持范围是什么?/ By 禅与计算机程序设计艺术

5、ChatGPT的语言支持范围是什么? ChatGPT的语言支持范围是什么?写一篇文章,分2级目录,要10个目录,不少于10000字。markdown格式。 目录 5、ChatGPT的语言支持范围是什么? ChatGPT的语言支持范围

midjourney ai与ChatGPT结合使用,大大提升返回结果准确率

最近在试用midjourney ai绘图,结合ChatGPT给到更多的特征来说明 如果只是单纯的提问,可能返回杂乱的图片. 提问时要把相关特征,风格,物件都要说清楚,ai才能识别得到,放几张体验照: 生成结束后将会出现两…

万字追溯ChatGPT各项能力的起源

省时查报告-专业、及时、全面的行研报告库 省时查方案-专业、及时、全面的营销策划方案库 【免费下载】2023年1月份热门报告合集 ChatGPT团队背景研究报告 ChatGPT的发展历程、原理、技术架构及未来方向 ChatGPT使用总结:150个ChatGPT提示此模板 ChatGPT数据集之谜 …

最新版chatgpt4人工智能系统源码 支持电脑手机+小程序

分享一款最新的chatgpt4人工智能系统源码,完美运营版,系统支持电脑版手机版小程序端三合一,含完整代码包和详细的安装部署教程。 系统主要功能一览: 1、可以在电脑端、手机端上使用,还可以通过小程序进行在线交互和对…

【ChatGPT实战案例】ChatGPT快速生成短视频

目录 使用工具 实现方法(任选一种) 使用步骤 方法1示例:ChatGPT百度AIGC 方法2示例:ChatGPT剪映 使用工具 - ChatGPT - 剪映:手机or电脑应用商场下载app - 百度AIGC:度加创作工具-百度官方出品-人人…

【chatgpt】学习开源项目chatgpt-web,搭建自己的chatgpt服务,功能非常丰富有打字效果

目录 前言1,开源的chatgpt项目2,项目可以直接使用docker-compose跑起来3,关于打字模式SSE, octet-stream (打字特效)4,关于内容存储5,总结 前言 本文的原文连接是: https://blog.csd…

ChatGPT Plus 插件最全解读

前言: OpenAI放出大招,向所有ChatGPT Plus用户开放联网功能和众多插件,允许ChatGPT访问互联网并使用70个第三方插件。 本批第三方插件能够全方位覆盖衣食住行、社交、工作以及学习等日常所需,基本上能够扮演24小时私人助理的角色…

chatgpt赋能python:Python手机怎么下载:简易教程

Python手机怎么下载:简易教程 随着移动互联网和智能手机的普及,越来越多的人开始使用手机进行日常工作和娱乐,而Python语言作为一种广泛应用于科学计算、数据分析、Web开发等领域的编程语言,也逐渐受到手机用户的青睐。那么&…

独家 | CodeGPT:具有类ChatGPT功能的VSCode扩展

作者:The PyCoach‍翻译:陈之炎 校对:赵鉴开本文约1300字,建议阅读7分钟 本文为你介绍在VSCode中使用GPT-3的官方OpenAI API。 用Canva制作图片 我并非VSCode的忠实粉丝,但不得不承认,它比我每天使用的代码…

ChatGPT专业应用:生成演讲稿

正文共 1138 字,阅读大约需要 7 分钟 教育工作者、企业家等必备技巧,您将在7分钟后获得以下超能力: 生成演讲稿 Beezy评级 :A级 *经过寻找和一段时间的学习,一部分人能掌握。主要提升效率并增强自身技能。 推荐人 | …

5个 ChatGPT 功能,帮助你提升日常编码效率

ChatGPT 作为最快完成亿活用户的应用,最近真的是火出天际了。今天分享5个 ChatGPT 功能,来提升我们的日常工作以及如何使用它提高代码质量。 ChatGPT 的出现,彻底改变了开发代码的方式。但是目前为止,大多数软件开发人员和数据专业…