科技云报道:一波未平一波又起?AI大模型再出邪恶攻击工具

AI大模型的快速向前奔跑,让我们见识到了AI的无限可能,但也展示了AI在虚假信息、深度伪造和网络攻击方面的潜在威胁。

据安全分析平台Netenrich报道,近日,一款名为FraudGPT的AI工具近期在暗网上流通,并被犯罪分子用于编写网络钓鱼电子邮件和开发恶意软件。

黑客在售卖页表示,该工具可用于编写恶意代码、创建出“一系列杀毒软件无法检测的恶意软件”、检测网站漏洞、自动进行密码撞库等,并声称“该恶意工具目前已经售卖了超过3000 份”。
在这里插入图片描述

恶意AI工具FraudGPT:可自动生成多种网络攻击代码

据报道,FraudGPT的运作方式是通过草拟一封电子邮件,以高度可信的方式诱使收件人单击所提供的恶意链接。它的主要功能包括:

l 创建钓鱼网站页面

FraudGPT可以生成看似真实的网络钓鱼电子邮件、短信或网站,诱骗用户泄露敏感信息,例如登录凭据、财务详细信息或个人数据;

l 找到最容易受害的目标

聊天机器人可以模仿人类对话,与毫无戒心的用户建立信任,导致他们在不知不觉中泄露敏感信息或执行有害操作;

l 创建无法检测的恶意软件

FraudGPT可以创建欺骗性消息,引诱用户点击恶意链接或下载有害附件,导致其设备感染恶意软件;

l 编写欺诈的短信、邮件

人工智能驱动的聊天机器人可以帮助黑客创建欺诈性文件、发票或付款请求,导致个人和企业成为金融诈骗的受害者。

据悉,FraudGPT是由名为 “CanadianKingpin” 的开发者提供。

它主要基于GPT-3的大型语言模型,在经过训练后,可以生成合乎逻辑且与事实相符的欺诈性文本。一旦付费购买,FraudGPT便可以帮助犯罪分子成功进行网络钓鱼和诈骗。

在发布FraudGPT后,Canadiankingpin还创建了自己的电台频道,宣布将提供其他欺诈服务,包括销售电子邮件线索、信用卡CVV码等。根据Canadiankingpin的描述,他目前已经通过了EMPIRE、WHM、TORREZ、ALPHABAY在内的多个暗网市场的供应商认证。

然而由于这些暗网市场极强的隐蔽性和不透明性,目前Canadiankingpin的身份依然是个谜团,调查者也仅找到了Canadiankingpin的TikTok账号以及相同id的Gmail邮箱。而另一个令人感到沮丧的消息是,在经历了近一周的研究后,Netrich也并未能够实现对FraudGPT背后的大语言模型的破解。

虽然自FraudGPT发布仅过去了不到两周,但一个明显的事实是,这款“顶级AI工具”已开始被利用到了实际的犯罪行为中。在部分销售FraudGPT的暗网中,Canadiankingpin与一些订阅用户已经分享了多起他们基于FraudGPT所实现的黑客活动。

据Netrich统计,FraudGPT至少自7月22日便开始在暗网市场和Telegram频道中流通,订阅费用为200美元/月,1700美元/年。相比于ChatGPT Plus订阅20美元/月,价格高了10倍。

截止目前,暗网上已存在了超过3000条确认的订阅信息及评论。

恶意AI攻击工具:降低网络犯罪的进入门槛

事实上,AI工具降低了网络犯罪分子的进入门槛,FraudGPT已经不是第一起案例。

即便Claude、ChatGPT 、Bard等AI提供商会采取一些措施来防止他们的技术被用于不良目的,但随着开源模型的崛起,犯罪分子的恶意行为很难被遏制。

7 月初,基于开源大语言模型GPT-J开发而成,并且使用大量恶意代码进行训练和微调的WormGPT也曾引发关注。

据悉,WormGPT擅长使用Python代码执行各种网络攻击,例如:生成木马、恶意链接、模仿网站等,其在创作诈骗信息和钓鱼邮件等任务上所表现出的“卓越”能力让人胆战心惊。

但相比之下,FraudGPT在功能丰富性和编写恶意软件方面的功能更强大。

事实上,除了上文所提到的FraudGPT、WormGPT等专为恶意活动而生的聊天机器人外。大语言模型本身所潜藏的风险也在不断给安全从业者们带来挑战,除了我们所熟知的幻觉问题外,大模型脆弱的护栏也在成为网络安全的一大噩梦。

上个月ChatGPT、Bard等聊天机器人暴露出的“奶奶漏洞”就证明了这样的事实,只需要通过提示让这些聊天机器人扮演用户已故的祖母,便能欺骗它们在讲睡前故事的过程中透露大量限制信息,甚至是手机IMEI密码或Windows激活秘钥。

除此之外,CMU和人工智能安全中心的研究员还发现了另一种通用方法,只需要附加一系列特定无意义token,就能够生成一个prompt后缀。而一旦在prompt中加入这个后缀,通过对抗攻击方式,任何人都能破解大模型的安全措施,使它们生成无限量的有害内容。

尽管在过去几个月中,OpenAI、谷歌等世界顶级科技公司都在努力为自己所研发的大模型设计更多更加完善的限制措施,以保障模型能够在安全稳定的情况下工作。但显而易见的是,直至目前仍然没有人能够完全避免类似问题的发生。

当犯罪门槛降低,企业如何防范?

毋庸置疑,无论是WormGPT ,还是FraudGPT ,这类极具威胁性的AI工具,都在为促进网络犯罪和诈骗“赋能”。

安全分析平台Netenrich曾表示:“这项技术会降低网络钓鱼电子邮件和其他诈骗的门槛。随着时间的推移,犯罪分子将找到更多方法来利用我们发明的工具来增强他们的犯罪能力。”

当AI工具的邪恶面被淋漓尽致的展现,再加之网络攻击「低门槛」,加强防御策略显得尤为重要。

为此,有专家针对个人和企业,提出了一些可采取的关键措施,以确保免受 FraudGPT和类似AI工具威胁的影响。

l 对在线通信保持警惕

不要乱点击陌生的网站链接、邮件,安装未知的软件。同时,针对需要验证、涉及敏感信息、金融交易的意外电子邮件,应通过官方渠道加以验证。

l 及时了解网络安全措施

定期更新安全软件、安装补丁并使用信誉良好的防病毒程序来防范潜在威胁。同时,也需要了解最新的网络安全实践,增强网络攻击的防御意识。

l 警惕未知的链接和附件

不要点击未知来源的链接或打开附件。FraudGPT可以生成指向网络钓鱼网站的逼真URL,因此,在点击任何链接之前验证发件人的身份至关重要。

l 教育和培训员工

对于企业来说,网络安全最佳实践的员工培训至关重要。确保员工了解潜在威胁并知道如何识别可疑活动。如果员工遇到任何可疑消息,应该立即向IT部门报告。

结语

AI大模型的快速发展在给诸多领域带来积极影响的同时,随着模型能力的不断提升,也被运用在恶意活动中,破坏力与日俱增。

但无论是FraudGPT、WormGPT等恶意软件的出现,还是大模型总会出现的幻觉、越狱等问题,其实都不是为了告诉我们AI有多么危险,而是在提醒我们需要更加专注于解决现阶段AI领域所存在的诸多问题。

正如网络安全专家Rakesh Krishnan在一篇关于FraudGPT的分析博客中所写的那样:技术是一把双刃剑,网络犯罪分子正在利用生成式AI的能力,而我们同样可以利用这种能力攻克他们所提出的挑战。技术作恶者不会停止创新,我们同样不会。

值得欣慰的是,目前无论在国内外,政府及科技企业都在积极完善有关人工智能的监管政策及相关法规。

七月中旬,国家网信办已联合六部门发布了《生成式人工智能服务管理暂行办法》;七月底,美国7家AI巨头也与白宫达成协议,将为AI生成内容添加水印。

近来多个包含数据采集和使用不规范等问题的AIGC应用被要求在苹果商店下架一事也证明着监管措施正在发挥积极作用。

虽然关于人工智能,无论在技术还是监管方面我们都还有很长的道路需要去探索,但相信随着各界的共同努力,许多问题都将在不久后迎刃而解。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/71409.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

基于微信小程序的应届大学生招聘平台的设计与实现

伴随着社会以及科学技术的发展,互联网已经渗透在人们的身边,网络慢慢的变成了人们的生活必不可少的一部分,紧接着众多智能手机飞速的发展,小程序这一名词已不陌生,越来越多的企业、公司、高校、医院等机构都会使用小程…

C++学习笔记——从面试题出发学习C++

C学习笔记——从面试题出发学习C C学习笔记——从面试题出发学习C1. 成员函数的重写、重载和隐藏的区别?2. 构造函数可以是虚函数吗?内联函数可以是虚函数吗?析构函数为什么一定要是虚函数?3. 解释左值/右值、左值/右值引用、std:…

Clickhouse学习系列——一条SQL完成gourp by分组与不分组数值计算

笔者在近一两年接触了Clickhouse数据库,在项目中也进行了一些实践,但一直都没有一些技术文章的沉淀,近期打算做个系列,通过一些具体的场景将Clickhouse的用法进行沉淀和分享,供大家参考。 首先我们假设一个Clickhouse数…

EXPLAIN使用分析

系列文章目录 文章目录 系列文章目录一、type说明二、MySQL中使用Show Profile1.查看当前profiling配置2.在会话级别修改profiling配置3.查看profile记录4.要深入查看某条查询执行时间的分布 一、type说明 我们只需要注意一个最重要的type 的信息很明显的提现是否用到索引&…

单参数构造函数的隐式类型转化

单参数构造函数的隐式类型转化 如果你不想发生隐式类型的转化,可以在默认构造函数前加上关键字:explicit 多参数的玩法和单参数的是不一样的 c98 不支持多参数隐式类型的转化 c11 支持多参数隐式类型的转化 举个例子: 多参数可以这样写&…

考虑分布式电源的配电网无功优化问题研究(Matlab代码实现)

💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…

计算机视觉中的Transformer

几十年来,理论物理学家一直在努力提出一个宏大的统一理论。通过统一,指的是将被认为是完全不同的两个或多个想法结合起来,将它们的不同方面证明为同一基础现象。一个例子是在19世纪之前,电和磁被看作是无关的现象,但电…

SolidWorks不能使用选择如允许此选择将生成有冲突的前后关系

SolidWorks不能使用选择如允许此选择将生成有冲突的前后关系 1 SolidWorks不能使用选择如允许此选择将生成有冲突的前后关系 1 SolidWorks不能使用选择如允许此选择将生成有冲突的前后关系 https://www.swrjzxw.com/1556.html SolidWorks装配体时 显示 不能使用选择如允许此选…

CSS 中的优先级规则是怎样的?

聚沙成塔每天进步一点点 ⭐ 专栏简介⭐内联样式(Inline Styles)⭐ID 选择器(ID Selectors)⭐类选择器、属性选择器和伪类选择器(Class, Attribute, and Pseudo-class Selectors)⭐元素选择器和伪元素选择器…

2023.8.12号论文阅读

文章目录 TriFormer: A Multi-modal Transformer Framework For Mild Cognitive Impairment Conversion Prediction摘要本文方法实验结果 SwIPE: Efficient and Robust Medical Image Segmentation with Implicit Patch Embeddings摘要本文方法实验结果 TriFormer: A Multi-mod…

服务器安装Tomcat

下载Tomcat 下载地址在这: Tomcat官网 下载完成以后把压缩包上传到服务器中(我传到了www/java),进行解压(解压到),如果没有进行指定解压到哪里,默认是到root文件夹中 tar -zxvf /www/java/apache-tomcat-9.0.103.tar.…

掌握Python的X篇_32_使用python编辑pdf文件_pdfrw

本篇介绍利用python操作pdf文件,我们平时也会有合并和拆分pdf的需求,此时我们就可以使用本节内容。 文章目录 1. pdfrw的安装2. 切分pdf文件3. pdfrw官网及实现一版四面的实例 1. pdfrw的安装 pip install pdfrw官网地址:https://github.co…

QT之UDP通信

QT之UDP通信 UDP不分客户端口服务器,只需要使用一个类QUdpSocket QT += core gui networkgreaterThan(QT_MAJOR_VERSION, 4): QT += widgetsTARGET = udp TEMPLATE = app# The following define makes your compiler emit warnings if you use # any feature of Qt …

使用Openoffice或LibreOffice实现World、Excel、PPTX在线预览

使用Openoffice或LibreOffice实现World、Excel、PPTX在线预览 预览方案使用第三方服务使用前端库转换格式 jodconverterjodconverter概述主要特性OpenOfficeLibreOffice jodconverter的基本使用添加依赖配置创建DocumentConverter实例上传与转换预览启动上传与预览World 与Spri…

C#应用处理传入参数 - 开源研究系列文章

今天介绍关于C#的程序传入参数的处理例子。 程序的传入参数应用比较普遍,特别是一个随操作系统启动的程序,需要设置程序启动的时候不显示主窗体,而是在后台运行,于是就有了传入参数问题,比如传入/h或者/min等等。所以此…

配置vscode

配置vscode 设置相关 网址:https://code.visualstudio.com/ 搜索不要用百度用这个:cn.bing.com 1.安装中文包 Chinese (Simplified) (简体中文) 2.安装 open in browser 3.安装主题 Atom One Dark Theme 4. 安装图标样式 VSCode Great Icons 5.安装 L…

25. K 个一组翻转链表

25. K 个一组翻转链表 题目-困难难度示例1. 链表转列表 -> 计算 -> 列表转链表2. 反转合并 题目-困难难度 给你链表的头节点 head ,每 k 个节点一组进行翻转,请你返回修改后的链表。 k 是一个正整数,它的值小于或等于链表的长度。如果…

Ansible Playbook快速部署一主多从MySQL集群

部署目标: 1、快速部署一套一主两从的mysql集群 2、部署过程中支持交互式定义安装目录及监听端口号 部署清单目录结构: rootmaster:/opt/mysql# tree . . ├── group_vars │ └── all.yml ├── hosts ├── mysql.yml └── roles└── mys…

WebRTC本地视频通话使用ossrs服务搭建

iOS开发-ossrs服务WebRTC本地视频通话服务搭建 之前开发中使用到了ossrs,这里记录一下ossrs支持的WebRTC本地服务搭建。 一、ossrs是什么? ossrs是什么呢? SRS(Simple Realtime Server)是一个简单高效的实时视频服务器,支持RTM…

计算机网络—TCP

这里写目录标题 TCP头格式有哪些为什么需要TCP,TCP工作在哪什么是TCP什么是TCP连接如何确定一个TCP连接TCP和UDP的区别,以及场景TCP和UDP能共用一个端口?TCP的建立TCP三次握手过程为什么是三次握手、不是两次、四次why每次建立连接&#xff0…