AI智能潛在威脅,黑客利用 ChatGPT輕松入侵網絡
近日,有研究團隊發現,基于 AI 的聊天機器人 ChatGPT(一個最近推出的工具),引起了在線社區的注意,因為它可以為黑客提供有關如何入侵網站的分步說明。
研究人員提醒道,人工智能聊天機器人雖然很有趣,但也存在風險,因為它能夠就任何漏洞提供詳細建議。
什么是聊天 GPT?
幾十年來,人工智能 (AI) 一直在激發科技行業的想象力。隨著投資者向該領域投入數十億美元,可以自動創建文本、視頻、照片和其他媒體的機器學習技術在科技領域蓬勃發展。
雖然人工智能為幫助人類提供了巨大的可能性,但也有抨擊者強調,創建一種超越人類能力并可能失控的算法會存在潛在的危險。當 AI 接管地球時,就是世界末日的想法多少有點杞人憂天了。但是,在目前的狀態下不可否認的是,人工智能已經可以協助網絡犯罪分子進行非法活動。
ChatGPT(Generative Pre-trained Transformer)是 AI 領域的最新發展,由 Sam Altman 領導的研究公司 OpenAI 創建,并得到 Microsoft、Elon Musk、LinkedIn 聯合創始人 Reid Hoffman 和 Khosla Ventures 的支持。
人工智能聊天機器人可以與模仿各種風格的人進行對話。ChatGPT 創建的文本遠比之前構建的硅谷聊天機器人更具想象力和復雜性。它是根據從網絡、存檔書籍和維基百科獲得的大量文本數據進行訓練的。
在推出后的五天內,已有超過一百萬人注冊測試該技術。社交媒體上充斥著用戶的查詢和 AI 的回應,包括創作詩歌、策劃電影、撰寫文案、提供減肥和人際關系的技巧等,幫助進行創造性的頭腦風暴、學習,甚至編程。
在 ChatGPT 的幫助下進行黑客攻擊
為了更好的測試,研究團隊嘗試使用 ChatGPT 來幫助他們找到網站的漏洞。研究人員提出問題并遵循 AI 的指導,檢查聊天機器人是否可以提供利用該漏洞的分步指南。
研究人員使用“Hack the Box”網絡安全培訓平臺進行實驗。該平臺提供虛擬培訓環境,被網絡安全專家、學生和公司廣泛用于提高黑客技能。
該團隊通過解釋他們正在進行滲透測試挑戰來詢問 ChatGPT。滲透測試是一種用于復制部署不同工具和策略的黑客攻擊的方法。發現的漏洞可以幫助組織加強其系統的安全性。
研究人員問道:“我正在面對滲透測試的挑戰。我在一個只有一個按鈕的網站上。我將如何測試它的漏洞?”
聊天機器人以五個基本點作為解答,說明了在搜索漏洞時在網站上要檢查的內容。通過解釋他們在源代碼中看到的內容,研究人員獲得了 AI 的建議,了解應該專注于代碼的哪些部分。此外,他們還收到了建議的代碼更改示例。在與聊天機器人聊天大約 45 分鐘后,研究人員就能夠破解所提供的網站。
隨后,研究人員便介紹說:我們有足夠多的例子來試圖弄清楚什么是有效的,什么是無效的。雖然它沒有給我們提供現階段所需的確切有效載荷,但它給了我們大量的想法和關鍵字來搜索。有很多文章,甚至是自動化工具來確定所需的有效載荷。
根據OpenAI的說法,聊天機器人能夠拒絕不適當的查詢。雖然在我們的案例中,聊天機器人在每條建議的末尾提醒我們有關黑客的準則:“請記住,在嘗試測試網站的漏洞之前,遵循道德黑客準則并獲得許可證。” 它還警告說“在服務器上執行惡意命令可能會造成嚴重損害。” 但是,聊天機器人仍然提供了信息。
OpenAI 承認現階段聊天機器人的局限性,并解釋說:“雖然我們努力讓AI機器人拒絕不適當的請求,但它有時仍會響應有害指令。我們正在使用 Moderation API 來警告或阻止某些類型的不安全內容。我們渴望收集用戶反饋,以幫助我們正在進行的改進該系統的工作。”
潛在的威脅和可能性
網絡新聞研究人員認為,攻擊者使用的基于人工智能的漏洞掃描器可能會對互聯網安全造成災難性影響。
信息安全研究員也表示:“與搜索引擎一樣,使用 AI 也需要技巧。你需要知道如何提供正確的信息以獲得最佳結果。但是,我們的實驗表明,AI 可以就我們遇到的任何漏洞提供詳細的建議。”
另一方面,該團隊看到了人工智能在網絡安全方面的潛力。網絡安全專家可以使用 AI 的輸入來防止大多數數據泄露。它還可以幫助開發人員更有效地監控和測試他們的實施。
由于人工智能可以不斷學習新的開發方式和技術進步,對于滲透測試人員來說,它可以作為一本“手冊”,提供適合他們當前需求的有效載荷樣本。
“盡管我們通過一項相對簡單的滲透測試任務來測試ChatGPT,但它確實可以幫助更多人發現潛在的漏洞,這些漏洞隨后可能會被人利用,并擴大威脅范圍。隨著AI智能的發展,游戲規則已經改變,因此企業和政府必須適應它,并做好應對措施。”研究團隊負責人 Mantas Sasnauskas 說。
