?聚焦源代碼安全，網羅國內外最新資訊！

編譯：代碼衛士

自OpenAI 在2022年11月發布ChatGPT以來，安全研究人員就預測稱，網絡犯罪分子開始利用這個AI聊天機器人編寫惡意軟件和執行其它惡意活動就只是時間問題。就在幾周后，貌似這個時間已到。

Check Point Research (CPR) 的研究人員指出，至少在地下論壇發現三個黑帽黑客利用ChatGPT 實施惡意目的的實例。

ChatGPT 是一款AI驅動的原型聊天機器人，適用于大量用例，包括代碼開發和調試。它的主要亮點之一是能夠使用戶以對話方式與之交互，并獲得在所有領域的協助，如編寫軟件、理解復雜主題、編寫論文和郵件、提升客戶服務以及測試不同的商業或市場場景等。

但ChatGPT也可用于惡意場景。

從編寫惡意軟件到創建暗網市場

在一個場景中，惡意軟件作者在其它網絡犯罪分子使用的論壇中披露了自己如何和ChatGPT進行試驗，查看自己能否重新創建已知惡意軟件和技術。例如，他通過ChatGPT分享了自己開發的基于 Python的信息竊取器，可從受感染系統中搜索、復制并提取12種常見的文件類型如Office 文檔、PDF和鏡像等。這個惡意軟件作者還展示了如何使用ChatGPT編寫Java代碼，下載PuTTY SSH 和遠程登錄客戶端，并通過PowerShell 在系統上靜默運行。

2022年12月21日，昵稱為 “USDoD”的威脅行動者貼出一個通過ChatGPT生成的Python 腳本，通過Blowfish和Twofish 加密算法加密和解密數據。CPR研究人員發現雖然該代碼可用于非惡意目的，但威脅行動者可輕松修改在無需用戶交互的情況下在系統運行，將其修改為勒索軟件。和信息竊取工具的作者不同，USDoD 的技術能力似乎非常有限，并且生成自己生成的 Python 腳本是自己生成的第一個腳本。

在第三個案例中，研究人員發現一名網絡犯罪分子討論自己如何使用ChatGPT創建了完全自動化的暗網市場，可用于交易被盜銀行卡和支付卡數據、惡意軟件工具、毒品、彈藥和多種其它非法商品。

研究人員指出，“為了展示如何將ChatGPT用于這些惡意目的，該犯罪分子發布了一份代碼，它通過第三方API 獲得當前的加密密幣價格作為暗網市場支付系統的一部分。”

無需任何經驗

自去年11月份推出ChatGPT以來，關于遭濫用的話題就一直不斷。很多安全研究員認為ChatGPT 大大降低了編寫惡意軟件的難度門檻。

Check Point 公司的威脅情報團隊經理 Sergey Shykevich 重申，惡意人員無需任何編程經驗就能夠通過ChatGPT編寫惡意軟件，“你應該只需知道惡意軟件或任何程序應該具備的功能，ChatGPT就能夠替你編寫代碼，執行所需功能。”因此，“短期擔憂絕對和ChatGPT允許低技能網絡犯罪分子開發惡意軟件有關。長期來看，我認為更多高技能網絡犯罪分子會通過ChatGPT 改進活動效率或者解決可能具有的不同差距。”

從攻擊者角度來看，AI代碼生成系統可使惡意人員通過ChatGPT這一語言之間的翻譯來縮短任何技能缺口。這類工具提供了創建與攻擊者目標相關的代碼模板的按需模式，并削減了通過開發者網站如 Stack Overflow 和 Git等搜索的需求。

甚至在發現ChatGPT 遭濫用之前，研究人員就說明了競爭對手可如何將其用于惡意活動中。2022年12月19日，Check Point 公司發布一篇博客文章，說明了研究人員如何僅通過要求ChatGPT 編寫看似來自虛構的網絡托管服務，就創建了一份非常具有說服力的釣魚郵件。研究人員還展示了如何讓ChatGPT 編寫可復制到Excel 中的VBS代碼，用于從遠程URL中下載可執行文件。這一演練的目標是展示攻擊者如何利用ChatGPT等人工智能模型，執行多種活動如魚叉式釣魚郵件創建完整的感染鏈、在受感染系統上運行反向shell等。

讓網絡犯罪分子更難以利用

OpenAI和其它類似工具的開發人員已通過過濾器和控制來嘗試限制對技術的濫用。至少目前來看，這些AI工具仍然存在一些問題并易出現很多研究人員說的徹底錯誤，這樣可阻止一些惡意行為。即便如此，很多人認為長期來看，這些技術遭濫用的可能性仍然很大。

為使犯罪分子更難以濫用這些技術，開發人員將需要訓練和改進AI引擎，識別可遭惡意濫用的請求。其它選擇是執行使用該引擎的認證和授權要求。即使是執行目前在線金融機構和支付系統在使用的要求也已足夠。

代碼衛士試用地址：https://codesafe.qianxin.com

開源衛士試用地址：https://oss.qianxin.com

---

推薦閱讀

堪比“震網”：羅克韋爾PLC嚴重漏洞可導致攻擊者在系統中植入惡意代碼

惡意軟件利用合法的代碼簽名證書橫行Windows 系統

速修復！熱門代碼覆蓋率測試工具 Codecov 的腳本遭惡意修改，敏感信息被暴露

美國或將禁止出口人工智能等敏感技術

開源軟件源代碼安全缺陷分析報告——人工智能類開源軟件專題

微軟為Win 10增加基于人工智能的高級殺毒軟件

原文鏈接

https://www.darkreading.com/attacks-breaches/attackers-are-already-exploiting-chatgpt-to-write-malicious-code

題圖：Pixabay?License?

本文由奇安信編譯，不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 https://codesafe.qianxin.com”。

奇安信代碼衛士 (codesafe)

國內首個專注于軟件開發安全的產品線。

? ??覺得不錯，就點個?“在看” 或 "贊” 吧~

總結

以上是生活随笔為你收集整理的攻击者已利用ChatGPT编写恶意代码的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。