腳本小子的狂歡：ChatGPT首次被黑客用于編寫惡意軟件 - 網安 - 專業的網絡安全產業、社區、知識平臺

自去年11月推出測試版以來，人工智能聊天機器人ChatGPT已經被各行業人士“玩壞了”，人們用ChatGPT寫詩、PPT、論文、小說、策劃活動，或者作為一種智能搜索和學習工具。

但ChatGPT真正危險的應用場景在網絡安全領域，研究者已經證實ChatGPT可以用于編寫惡意軟件，或者從事其他網絡犯罪活動（例如網絡釣魚）。

黑客首次用ChatGPT生成惡意軟件

根據網絡安全公司Check Point研究人員上周五發布的報告，在ChatGPT上線的幾周內，網絡犯罪論壇的參與者，包括一些幾乎沒有編程經驗的“腳本小子”正在使用ChatGPT編寫可用于間諜、勒索軟件、惡意垃圾郵件和其他用于不法活動的軟件和電子郵件。報告列舉了不法分子用ChatGPT開發惡意軟件的三個案例：

生成信息竊取工具
生成多層加密工具
生成暗網市場腳本

“現在斷言ChatGPT是否會成為暗網不法分子最喜歡的新工具還為時過早，”研究人員寫道：“但顯然，網絡犯罪社區已經表現出極大的興趣，并正在紛紛嘗試用這個新工具來生成惡意代碼。”

上個月，一位暗網論壇活躍用戶（USDoD）發布了其編寫的首個惡意軟件，Python編寫的多層加密工具（腳本），并稱贊AI聊天機器人（OpenAI）提供了“很好的幫助，腳本的完成度很高。”

黑客論壇用戶用ChatGPT生成代碼截圖

研究人員認為，該腳本結合了各種加密功能，包括代碼簽名、加密和解密。腳本的一部分使用橢圓曲線加密和曲線ed25519生成密鑰，用于對文件進行簽名。另一部分使用硬編碼密碼使用Blowfish和Twofish算法加密系統文件。第三個使用RSA密鑰和數字簽名，消息簽名和blake2哈希函數來比較各種文件。

該腳本可用于：（1）解密單個文件并將消息身份驗證代碼（MAC）附加到文件末尾，以及（2）加密硬編碼路徑并解密它作為參數接收的文件列表。對于技術技能有限的“腳本小子”來說還不錯。

“上述所有代碼當然都可以以良性的方式使用，”研究人員寫道：“但是，攻擊者可以輕松修改此腳本以完全加密某人的機器，而無需任何用戶交互。例如，如果腳本和語法問題得到解決，完全可以用這些代碼開發出勒索軟件。”

在另一個案例中，一位具有更多技術背景的論壇用戶發布了兩個惡意軟件代碼示例，都是用ChatGPT編寫的。第一個是用于漏洞利用后進行信息竊取的Python腳本。它搜索特定的文件類型，如PDF，將它們復制到臨時目錄，壓縮后將它們發送到攻擊者控制的服務器：

ChatGPT生成的Python文件竊取程序

第二個惡意軟件的代碼用Java編寫，能偷偷下載SSH和telnet客戶端PuTTY，并使用Powershell運行它。研究人員認為，第二個發帖者似乎是一個技術導向的威脅行為者，他發布帖子的目的是向技術能力較差的網絡犯罪分子展示如何將ChatGPT用于惡意目的，并提供他們可以立即使用的真實例子。

ChatGPT編寫的Java惡意程序的屏幕截圖

ChatGPT制作犯罪軟件的另一個案例是創建一個自動化在線集市，用于購買或交易被盜用帳戶、支付卡數據、惡意軟件和其他非法商品或服務的憑據。該代碼使用第三方編程接口來檢索當前的加密貨幣價格，包括門羅幣、比特幣和以太幣。這有助于用戶在交易時設置價格。

用ChatGPT生成的網絡黑市腳本（含代碼）

研究人員用ChatGPT開發完整感染鏈

上周五的報告是在Check Point研究人員嘗試開發具有完整感染流的AI生成的惡意軟件兩個月后發布的。當時他們沒有編寫任何代碼，就生成了一封合理令人信服的網絡釣魚電子郵件：

雖然ChatGPT在過去兩個月中不斷收緊內容安全策略，拒絕在一些網絡安全任務中貢獻專家知識（例如識別URL中的惡意負載或撰寫釣魚電子郵件），但GoUpSec的編輯不久前曾成功繞過內容安全策略生成一封世界杯主題的釣魚電子郵件：

有了釣魚電子郵件，感染鏈的下一個重要環節是生成惡意載荷。CheckPoint的研究人員用ChatGPT開發了一個惡意宏，該宏可能隱藏在附加到電子郵件的Excel文件中。再一次，研究人員沒寫一行代碼。起初，輸出的腳本相當原始：

ChatGPT生成VBA腳本的第一次迭代截圖

然而，當研究人員指示ChatGPT多次迭代代碼時，代碼的質量大大提高了：

ChatGPT生成后續迭代的屏幕截圖

然后，研究人員使用一種名為Codex的更先進的AI服務來開發其他類型的惡意軟件，包括反向shell和用于端口掃描，沙箱檢測以及將其Python代碼編譯為Windows可執行文件的腳本。

“AI完成了整個感染流！”研究人員寫道：“我們創建了一個網絡釣魚電子郵件，包含一個Excel文檔附件，其中包含惡意VBA代碼，該代碼將反向shell下載到目標計算機。人工智能完成了復雜的技術工作，而攻擊者需要做的工作很簡單：發送郵件，執行攻擊！”

雖然ChatGPT條款禁止將其用于非法或惡意目的，但研究人員毫不費力地調整了他們的請求成功繞過這些限制。當然，防御者也可以使用ChatGPT編寫代碼來搜索文件中的惡意URL，或查詢VirusTotal以獲取特定加密哈希的檢測次數。

總結

雖然ChatGPT在網絡安全領域的應用只是牛刀小試，嶄露頭角，甚至略顯稚嫩。但不可否認的是，在不久的將來，人工智能將徹底改變網絡攻防態勢和游戲規則，掀起一場圍繞人工智能技術的軍備競賽。