人工智能聊天机器人对网络安全的未来意味着什么
OpenAI公司推出的聊天机器人ChatGPT有很多很好的用途,但就像任何新技术一样,有些人会利用ChatGPT用于罪恶的目的。
从编写电子邮件等相对简单的任务,到撰写论文或编译代码等更复杂的工作,OpenAI公司的人工智能驱动的自然语言处理工具ChatGPT自从推出以来就引起了人们的极大兴趣。
当然,ChatGPT并不完美——众所周知,当它误解了从中学习的信息时就会犯错,但许多人将它和其他人工智能工具视为互联网的未来。
OpenAI公司在ChatGPT的服务条款中加入了禁止生成恶意软件的条目,其中包括勒索软件、键盘记录程序、病毒或其他旨在施加某种程度伤害的软件,还禁止试图创建垃圾邮件,以及针对网络犯罪的用例。
但是,就像任何创新的技术一样,已经有人在尝试利用ChatGPT实现罪恶的目的。
在ChatGPT发布后不久,网络犯罪分子就在地下论坛上发帖,讨论如何使用ChatGPT来帮助开展恶意网络活动,例如编写钓鱼邮件或帮助编译恶意软件。
有人担心,网络犯罪分子会试图使用ChatGPT和其他人工智能工具(例如谷歌Bard),作为他们努力的一部分。虽然这些人工智能工具不会彻底改变网络攻击,但它们仍然可以帮助网络犯罪分子更有效地开展恶意攻击活动。
网络安全服务商CheckPoint公司的威胁情报部门经理SergeyShykevich表示,“至少在短期内,我不认为ChatGPT会创造出全新类型的网络攻击。重点将是提高他们的日常运营的成本效益。”
网络钓鱼攻击是恶意黑客和欺诈活动中最常见的组成部分。无论网络攻击者是通过电子邮件传播恶意软件、网络钓鱼链接,还是被用来说服受害者转账,电子邮件最初都是用来胁迫的关键工具。
对电子邮件的依赖意味着犯罪团伙需要持续不断的清晰可用的内容。在许多情况下,尤其是网络钓鱼,网络攻击者的目的是说服人们做一些事情,例如转账。幸运的是,现在很多这样的钓鱼尝试都很容易被识别为垃圾邮件,但高效的自动化文案可以让这些电子邮件更引人注目。
网络犯罪是一个全球性的产业,网络犯罪分子都在向世界各地的潜在目标发送钓鱼电子邮件,这意味着语言可能是一个障碍,特别是对于那些更复杂的鱼叉式网络钓鱼活动来说,这些活动依赖于受害者相信他们正在与值得信赖的联系人交谈——如果电子邮件中充满了不寻常的拼写和语法错误或奇怪的标点符号,人们不太可能相信他们正在与朋友或同事交谈。
但如果人工智能被正确利用,聊天机器人可以用网络攻击者想要的任何语言为电子邮件编写文本。
Shykevich说:“例如,俄罗斯网络罪犯的最大障碍是语言——英语。他们现在雇佣英语专业的大学毕业生为网络钓鱼邮件撰写文章,或者在呼叫中心工作,而且他们必须为此支付费用。像ChatGPT这样的工具可以为他们在创建各种不同的钓鱼信息上节省很多费用,我认为这是他们将寻求的方法。”
从理论上来说,有一些保护措施是为了防止滥用,例如,ChatGPT要求用户注册电子邮件地址,还需要电话号码来验证注册。
虽然ChatGPT可以拒绝编写钓鱼电子邮件,但可以要求它为其他消息制作电子邮件模板,这些消息通常被网络攻击者利用。这种尝试可能包括这样的信息:宣布发放年度奖金,必须下载并安装重要的软件更新,或者需要作为紧急事项查看附件。
网络安全与威胁情报提供商Crowdstrike公司的高级副总裁AdamMeyers表示:“精心制作一封电子邮件,说服某人点击链接,以获得会议邀请之类的东西,但如果母语不是英语,就不一定能做到。可以让ChatGPT制作一份格式优美、语法正确的邀请函,如果不是以英语为母语的人,就不一定能做到这一点。”
滥用这些工具不仅仅限于电子邮件,犯罪分子可以使用它来帮助为任何基于文本的在线平台编写脚本。对于实施诈骗的网络攻击者,甚至是试图进行间谍活动的高级网络威胁组织来说,这可能是一个有用的工具——尤其是用于创建虚假的社交资料来吸引人们。
云计算提供商Fastly公司的网络安全专家、高级首席产品技术专家KellyShortridge表示:“如果你想建立可信的业务,可以在LinkedIn发布看似合理的商业言论,让你看起来像让客户试图建立联系的真正商人,那么就非常适合采用ChatGPT。”
各种黑客组织试图利用LinkedIn和其他社交媒体平台作为开展网络间谍活动的工具,但创建虚假但看起来合法的在线个人资料,并在其中填满帖子和信息,这是一个耗时的过程。
Shortridge认为,网络攻击者可以使用ChatGPT等人工智能工具编写令人信服的内容,同时还具有比人工工作更少劳动密集型的好处。
她说:“很多这类社交工程活动都需要付出很多努力,因为必须建立那些档案。”她认为人工智能工具可以显著地降低进入门槛。
她说:“我相信ChatGPT可以写出非常有说服力的文章。”
技术创新的本质意味着,每当新事物出现时,总会有人试图利用它来达到恶意目的。即使开发商使用最创新的手段来防止滥用,网络犯罪分子和欺诈者的狡猾本性也意味着他们可能会找到规避保护的手段。
Shykevich表示:“没有办法将滥用行为完全消除到零。任何系统都不会发生这种情况。”他希望强调潜在的网络安全问题意味着围绕如何防止人工智能聊天机器人被用于错误目的展开更多讨论。
他说,“ChatGPT是一项伟大的技术,但与任何新技术一样,它也存在风险,讨论并意识到这些风险很重要。我认为,我们讨论得越多,OpenAI和类似公司就越有可能在减少滥用方面投入更多资金。”
人工智能聊天机器人(例如ChatGPT)在网络安全方面也有好处。它们特别擅长处理和理解代码,因此有可能使用它们来帮助防御者理解恶意软件。由于它们也可以编写代码,通过帮助开发人员完成项目,这些工具可能有助于更快地创建更好、更安全的代码,这对每个人都有好处。
调研机构Forrester公司的首席分析师JeffPollard指出,ChatGPT可以大幅减少生成安全事件报告所需的时间。
他指出:“更快地扭转局面意味着有更多的时间做其他事情——例如测试、评估、调查和响应,所有这些都有助于安全团队的规模。”他补充说,机器人可以根据可用数据建议下一步的行动。
他说:“如果正确设置安全编排、自动化和响应来加速工件的检索,这可以加速检测和响应,并帮助安全运营中心分析师做出更好的决策。”
因此,聊天机器人可能会让一些网络安全公司的日子更加艰难,但也可能有一线希望。
行业媒体联系OpenAI公司寻求置评,但未得到回复。然而,记者询问了ChatGPT有什么规则来防止它被滥用于网络钓鱼。得到了以下回复:“需要注意的是,虽然像ChatGPT这样的人工智能语言模型可以生成类似于钓鱼邮件的文本,但它们不能自行执行恶意操作,并且需要用户的意图和行动才能造成伤害。因此,用户在使用人工智能技术时要保持谨慎和良好的判断,并警惕网络钓鱼和其他恶意活动。”
来源:企业网D1Net