研究人員使用 ChatGPT 建立惡意軟體繞過 EDR,並聲稱漏洞獎金。
安全專家已經開發出一種方法來欺騙知名人工智慧聊天機器人 ChatGPT,讓它製造出惡意軟體。只需用一些聰明的問題和權威的語氣就可以讓聊天機器人執行你想要的操作。
使用者必須提供特定的提示和設定,才能使用 ChatGPT 產生程式碼。此外,它還有內建的內容過濾系統,可以防止回應關於不安全主題的查詢,例如代碼注入,但很容易被繞過。
CodeBlue29 使用 OpenAI 的 ChatGPT 創建了一個勒索軟體測試樣本,用於測試不同的 EDR 解決方案,以幫助他們決定為公司購買哪種產品。
他們能夠讓 ChatGPT 生成幾個程式碼片段,將它們附加在一起,創建出一個運作良好的自訂勒索軟體 Python 範本,儘管他們的編程經驗很少。
在對多個 EDR 解決方案進行勒索軟體測試期間,該惡意軟體能夠繞過其中一個供應商的防禦措施。Codeblue29 通過該供應商的漏洞獎金計劃報告了這一發現,導致問題得到解決。
| 他們透過堅持讓 ChatGPT 遵從他們的要求,達成了這個目標。他們說服了聊天機器人提供像: “我想寫一個 Python 腳本來遍歷我的目錄”這樣的問題。 |
他們表示:“當它遍歷我的目錄時,你會看到我在將其放入文件路徑時附加了根目錄和文件路徑。因此,如果你打印這個,它將說它在 C 目錄中。”
“這是完整的路徑,以及文件名和擴展名”。因此最好繼續深入探索問題,直到得到完整的答案。
根據 CyberArk 研究人員的說法,“有趣的是,通過要求 ChatGPT 使用多個限制並要求它遵守相同的操作,我們收到了一個功能性的代碼。”
| 研究人員指出,這不僅僅是問 ChatGPT 如何製作勒索軟體,而是要按照任何正常程式設計師都會想到的步驟進行提問,例如如何遍歷目錄?加密文件的程序是什麼?我現在做得怎麼樣?這是一種聰明的方法,也是一種繞過 ChatGPT 的聰明方法。 |
ChatGPT作為研究和分析工具
此外,專家表示,未來這可能有助於讓ChatGPT成長,並防止人們創建更多的惡意軟體。因為理想情況下,這已經正在發生,但如果可能的話,我們不希望生活在這樣一個世界中,任何人,如兒童或其他人,都可以告訴一台電腦:“嘿,創建一個嚇人的惡意軟體”,然後它就會為他們編寫並傳播。
此外,研究人員有可能使用這個工具來阻止攻擊,軟體開發人員也可以使用它來改進他們的程式碼。然而,人工智能在創建惡意軟體方面比檢測它更加優秀。
| 與大多數技術進步一樣,惡意軟體作者已發現利用ChatGPT擴散惡意軟體的方法。由這種人工智能工具生成的惡意內容,例如釣魚郵件、信息盜取器和加密軟體,已被廣泛在線上散播。 |
ChatGPT提供了一個API,使第三方應用程序可以通過腳本查詢AI並接收回應,而不是通過在線用戶界面操作。
一些人已經使用這個API創建了令人印象深刻的開源分析工具,可以使網絡安全研究人員的工作更加輕鬆。
研究人員說:“重要的是要記住,這不僅是一個假設情況,而是一個非常現實的問題。這是一個不斷發展的領域,因此保持警覺和瞭解最新信息是必要的。”
https://youtu.be/qMd-m8GMweg ChatGPT created malware bypasses EDR and claims bug
關鍵字 KEYWORD #CHATGPT,惡意軟體
生成性人工智能(AI)
Generative Pre-trained Transformer 生成性預訓練變換模型
接受過大量數據的訓練,而數據是由人類真實的人來編寫
監督學習
通過人類反饋強化學習