Ngày 15 tháng 7 năm 2023THNTrí tuệ nhân tạo / Tội phạm mạng
Với việc trí tuệ nhân tạo tổng quát (AI) đang trở thành xu hướng thịnh hành ngày nay, có lẽ không có gì ngạc nhiên khi công nghệ này đã được các tác nhân độc hại sử dụng lại để phục vụ lợi ích của họ, tạo điều kiện cho tội phạm mạng tăng tốc.
Theo những phát hiện từ SlashNext, một công cụ tội phạm mạng AI thế hệ mới được gọi là SâuGPT đã được quảng cáo trên các diễn đàn ngầm như một cách để các đối thủ khởi động các cuộc tấn công thỏa hiệp email doanh nghiệp và lừa đảo tinh vi (BEC).
Nhà nghiên cứu bảo mật Daniel Kelley cho biết: “Công cụ này thể hiện mình là một giải pháp thay thế mũ đen cho các mô hình GPT, được thiết kế đặc biệt cho các hoạt động độc hại”. “Tội phạm mạng có thể sử dụng công nghệ như vậy để tự động tạo ra các email giả mạo có tính thuyết phục cao, được cá nhân hóa cho người nhận, do đó làm tăng cơ hội thành công cho cuộc tấn công.”
Tác giả của phần mềm đã mô tả nó là “kẻ thù lớn nhất của ChatGPT nổi tiếng” “cho phép bạn làm mọi thứ bất hợp pháp.”
Trong tay kẻ xấu, các công cụ như WormGPT có thể là một vũ khí mạnh mẽ, đặc biệt là khi OpenAI ChatGPT và Google Bard đang ngày càng thực hiện các bước để chống lại việc lạm dụng các mô hình ngôn ngữ lớn (LLM) để tạo ra các email lừa đảo thuyết phục và tạo mã độc.
“Các hạn chế chống lạm dụng của Bard trong lĩnh vực an ninh mạng thấp hơn đáng kể so với ChatGPT,” Check Point cho biết trong một báo cáo trong tuần này. “Do đó, việc tạo nội dung độc hại bằng khả năng của Bard sẽ dễ dàng hơn nhiều.”
Đầu tháng 2 này, công ty an ninh mạng của Israel đã tiết lộ cách tội phạm mạng đang vượt qua các hạn chế của ChatGPT bằng cách tận dụng API của nó, chưa kể đến việc buôn bán các tài khoản trả phí bị đánh cắp và bán phần mềm vũ phu để xâm nhập vào tài khoản ChatGPT bằng cách sử dụng danh sách địa chỉ email và mật khẩu khổng lồ. .
Việc WormGPT hoạt động mà không có bất kỳ ranh giới đạo đức nào nhấn mạnh mối đe dọa do AI tổng quát gây ra, thậm chí cho phép tội phạm mạng mới vào nghề thực hiện các cuộc tấn công nhanh chóng và trên quy mô lớn mà không cần có đủ điều kiện kỹ thuật để làm như vậy.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật SaaS Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
Làm cho vấn đề trở nên tồi tệ hơn, các tác nhân đe dọa đang quảng cáo “bẻ khóa” cho ChatGPT, kỹ thuật nhắc và đầu vào chuyên dụng được thiết kế để thao túng công cụ nhằm tạo ra đầu ra có thể liên quan đến việc tiết lộ thông tin nhạy cảm, tạo nội dung không phù hợp và thực thi mã có hại.
“AI sáng tạo có thể tạo email với ngữ pháp hoàn hảo, khiến chúng có vẻ hợp pháp và giảm khả năng bị gắn cờ là đáng ngờ,” Kelley nói.
“Việc sử dụng AI tổng quát sẽ dân chủ hóa việc thực hiện các cuộc tấn công BEC tinh vi. Ngay cả những kẻ tấn công có kỹ năng hạn chế cũng có thể sử dụng công nghệ này, khiến nó trở thành một công cụ có thể truy cập được cho nhiều tội phạm mạng hơn.”
Tiết lộ được đưa ra khi các nhà nghiên cứu từ Mithril Security “phẫu thuật” sửa đổi một mô hình AI nguồn mở hiện có được gọi là GPT-J-6B để làm cho nó phát tán thông tin sai lệch và tải nó lên một kho lưu trữ công cộng như Hugging Face, sau đó có thể tích hợp vào các ứng dụng khác, dẫn đến với cái được gọi là đầu độc chuỗi cung ứng LLM.
Thành công của kỹ thuật, được đặt tên là PoisonGPT, dựa trên điều kiện tiên quyết là mô hình thùy não được tải lên bằng cách sử dụng tên mạo danh một công ty đã biết, trong trường hợp này là phiên bản đánh máy của EleutherAI, công ty đứng sau GPT-J.
