【正见新闻网2023年12月14日】
以 ChatGPT 为首的生成式 AI 应用潜力无限,但反过来说,用在骇客攻击、网路诈骗同样也令人担忧。台湾资安厂商趋势科技今天发表《2024 资安年度预测报告》,明确指出在生成式 AI 协助下, 例如变脸诈骗、鱼叉式网路钓鱼等网路诈谝能力已大幅提高!
趋势科技指出生成式 AI 可以生成真实度更高的人脸、经历以及对话能力,让网路诈骗钓饵更具吸引力,得手机会大幅提升。根据FBI 指出社交工程技巧网路犯本来就是受害者数量最多的犯罪、也是最赚钱的手法之一,预期2024 年骇客会结合更多元的AI 工具(例如聊天机器人、伪造语音相互搭配),制造出如虚拟绑架更多重面向的威胁。
像是今年出现的骇客版ChatGPT「WormGPT」,以及后来出现的WolfGPT、FraudGPT 都属此类,WormGPT、WolfGPT 可产生可用于实施网路犯罪的文字、程式码和其他资料格式,FraudGPT 则是直接生成一个非常拟真的诈骗网页诱人点击。
另外生成式 AI 本身的安全性也是越来越严重的问题,大型语言模型(LLM)本身更容易遭遇「资料下毒」(data poisoning)。资料下毒简单来说就是透过窜改学习资料,或是直接入侵模型的资料库或流程架构内来恶意操弄LLM 的表现与行为,除了更容易生成有问题、充满恶意的内容之外,还更可能导致LLM 泄漏出机密资料。
除了生成式AI 之外,趋势科技也预测「蠕虫自动化攻击」会成为接下来骇客集团找到系统漏洞,攻击云端的首选武器,像今年微软Azure AD 传出存在OAuth 漏洞,或是上个月还有骇客透过GitHub 曝露的AWS 帐密进行EleKtra-Leak 攻击。骇客只需成功攻击出云端一个漏洞,就能在云端内迅速蔓延,并利用已感染的云端原生工具攻击更多受害者,被自动化收集企业机敏资料、建立庞大的幕后操纵(C&C)伺服器通讯,甚至发动大规模分散式阻断服务(DDos)攻击等。
(INSIDE)