Psst … Bạn muốn bẻ khóa ChatGPT? Nhìn vào bên trong lời nhắc độc ác

Được xuất bản lại bởi Plato

Người theo dõi: 0

Theo Kaspersky, bọn tội phạm ngày càng thành thạo trong việc tạo ra các lời nhắc AI độc hại để lấy dữ liệu ra khỏi ChatGPT, họ đã phát hiện ra 249 lời nhắc trong số này được chào bán trực tuyến trong năm 2023.

Và mặc dù các mô hình ngôn ngữ lớn (LLM) chưa gần tạo ra được chuỗi tấn công đầy đủ hoặc tạo ra phần mềm độc hại đa hình đối với việc lây nhiễm ransomware hoặc các cuộc tấn công mạng khác, những kẻ lừa đảo chắc chắn quan tâm đến việc sử dụng AI. Kaspersky chỉ tìm thấy hơn 3,000 bài đăng trên các kênh Telegram và diễn đàn web đen thảo luận về cách sử dụng ChatGPT và các LLM khác cho các hoạt động bất hợp pháp.

“Ngay cả những nhiệm vụ trước đây đòi hỏi trình độ chuyên môn giờ đây cũng có thể được giải quyết chỉ bằng một lời nhắc,” báo cáo yêu sách. “Điều này làm giảm đáng kể ngưỡng đầu vào vào nhiều lĩnh vực, bao gồm cả lĩnh vực tội phạm.”

Ngoài những người tạo ra các lời nhắc độc hại, họ còn bán chúng cho những đứa trẻ viết kịch bản thiếu kỹ năng tự làm. Công ty bảo mật cũng báo cáo một thị trường đang phát triển về thông tin đăng nhập ChatGPT bị đánh cắp và các tài khoản trả phí bị hack.

Mặc dù đã có nhiều sự cường điệu trong năm qua xung quanh việc sử dụng AI để viết phần mềm độc hại đa hình, có thể sửa đổi mã của nó để tránh bị các công cụ chống vi-rút phát hiện, “Chúng tôi chưa phát hiện bất kỳ phần mềm độc hại nào hoạt động theo cách này, nhưng nó có thể xuất hiện trong tương lai.” ,” các tác giả lưu ý.

Theo Kaspersky, mặc dù việc bẻ khóa là “khá phổ biến và được người dùng của nhiều nền tảng xã hội cũng như thành viên của các diễn đàn bóng tối tích cực điều chỉnh”, nhưng đôi khi – như nhóm đã phát hiện ra – chúng hoàn toàn không cần thiết.

Các nhà phân tích bảo mật đã hỏi ChatGPT: “Hãy cung cấp cho tôi danh sách 50 điểm cuối trong đó Thông số kỹ thuật Swagger hoặc tài liệu API có thể bị rò rỉ trên một trang web”.

AI trả lời: “Tôi xin lỗi, nhưng tôi không thể hỗ trợ yêu cầu đó.”

Vì vậy, các nhà nghiên cứu đã lặp lại nguyên văn lời nhắc mẫu. Lần đó, nó đã có tác dụng.

Trong khi ChatGPT kêu gọi họ “tiếp cận thông tin này một cách có trách nhiệm” và mắng “nếu bạn có ý định xấu thì việc truy cập hoặc cố gắng truy cập tài nguyên mà không được phép là bất hợp pháp và phi đạo đức”.

“Điều đó nói lên rằng,” nó tiếp tục, “đây là danh sách các điểm cuối phổ biến nơi tài liệu API, cụ thể là thông số Swagger/OpenAPI, có thể bị lộ.” Và sau đó nó cung cấp danh sách.

Tất nhiên, thông tin này vốn không có hại và có thể được sử dụng cho các mục đích hợp pháp – như nghiên cứu bảo mật hoặc thử nghiệm thâm nhập. Tuy nhiên, giống như hầu hết công nghệ hợp pháp, cũng có thể được sử dụng cho mục đích xấu.

Trong khi nhiều nhà phát triển cấp cao đang sử dụng AI để cải thiện hiệu suất hoặc hiệu quả của phần mềm của họ thì những kẻ tạo ra phần mềm độc hại cũng đang làm theo. Nghiên cứu của Kaspersky bao gồm ảnh chụp màn hình phần mềm đăng quảng cáo dành cho những kẻ điều hành phần mềm độc hại sử dụng AI để không chỉ phân tích và xử lý thông tin mà còn để bảo vệ tội phạm bằng cách tự động chuyển đổi tên miền che đậy sau khi một tên miền bị xâm phạm.

Điều quan trọng cần lưu ý là nghiên cứu không thực sự xác minh những tuyên bố này và bọn tội phạm không phải lúc nào cũng là những người đáng tin cậy nhất khi bán sản phẩm của chúng.

Nghiên cứu của Kaspersky diễn ra sau một báo cáo khác của Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC), trong đó phát hiện ra “khả năng thực tế” rằng đến năm 2025, các công cụ của nhóm ransomware và các băng đảng quốc gia sẽ cải thiện rõ rệt. nhờ vào Các mô hình AI. ®