近日，美國聯邦政府發布了一份報告，稱用戶需密切注意ChatGPT存在的網絡安全風險，尤其是在網絡釣魚和惡意軟件開發領域。

在其發布的咨詢意見報告中，政府部門警告，盡管微軟支持的人工智能工具ChatGPT獲得了前所未有的成功，吸引了大量頭部企業和資本瘋狂涌入AI賽道，一時間AI成為當下最為火熱的賽道之一。

但是，AI 也帶來了安全方面的風險，尤其是在網絡釣魚郵件制作和惡意軟件生成等方面，以ChatGPT為代表的AI工具存在重大安全風險。該報告指出，為了防止這類AI工具帶來的威脅，企業必須積極主動地采取極其謹慎、盡職盡責和密切注意的態度，避免出現更糟糕的情況。

攻擊者正在利用ChatGPT放大作惡能力

該報告列舉了惡意攻擊者使用ChatGPT的部分方法清單，具體如下所示：

• 惡意軟件生成: 利用ChatGPT生成惡意軟件不再只是一種可能存在的理論，惡意攻擊者對它的利用已經越來越熟練，并且在暗網上開始了各種各樣的討論和嘗試。
• 制作網絡釣魚電子郵件:和惡意軟件生成不同的事，在釣魚郵件方面ChatGPT已經向用戶展現出其強大的能力。惡意攻擊者可以利用它來生成網絡釣魚和魚叉式網絡釣魚電子郵件，并且這些電子郵件有可能通過電子郵件提供商的垃圾郵件過濾器。
• 詐騙網站: 通過降低代碼生成門檻，ChatGPT 可以幫助技能較低的威脅行為者輕松構建惡意網站，例如偽裝和網絡釣魚登陸頁面。例如，零技能或很少技能的惡意行為者可以使用 ChatGPT 克隆現有網站，然后對其進行修改、構建虛假電子商務網站或運行帶有恐嚇軟件詐騙的網站等。
• 發布虛假信息: 通過 ChatGPT，用戶可以使用能夠撰寫極具說服力的散文、在短時間內生成數千條虛假新聞報道和社交媒體帖子的軟件。

企業&用戶安全防范指南/預防措施

1、提高對釣魚郵件的防范

• 千萬不要打開未知、意外或可疑的電子郵件、鏈接和附件；
• 在下載附件之前，使用電子郵件服務提供商提供的防病毒軟件對其進行掃描，即便是可信任的附件。如果電子郵件服務不提供病毒掃描功能，則所有下載的文件在打開前都可以用本地的殺毒軟件掃描；
• 對所有計算機設備，包括個人臺式電腦、筆記本電腦、手機、可穿戴設備等操作系統和軟件應用程序進行更新；
• 在所有的計算機設備中使用著名的、可信的防病毒軟件；
• 不要在官方設備上使用個人帳戶；
• 盡可能使用多因素身份驗證(MFA)；
• 絕不與未經授權/可疑的用戶、網站、應用程序等共享個人信息和證書；
• 始終在瀏覽器中鍵入URL，而不是直接點擊鏈接.
• 始終用https開放網站打開鏈接，不訪問http網站。

2.識別惡意軟件偽裝指南

(1)管理員

• 通過在操作系統、BIOS和應用程序級別上實現強化系統，盡可能地限制傳入的流量和用戶權限；
• 通過系統強化來阻止未經授權的存儲介質（例如 USB）；
• 經常格式化可移動媒體，盡量避免惡意軟件在系統內橫向傳播；
• 通過文件哈希、文件位置、登錄和失敗的登錄嘗試來監控網絡活動；
• 使用知名的、可信的反惡意軟件、防病毒、防火墻、IP、IDS、SIEM解決方案；
• 對離線 LAN 和在線網絡使用單獨的服務器/路由；
• 根據需要允許特定用戶訪問互聯網并限制數據使用/應用程序權限；
• 下載之前通過數字代碼簽名技術驗證軟件和文檔；
• 在郵件系統管理員控制和其他關鍵系統中實施 MFA（多重身份驗證）；
• 始終定期維護關鍵數據的備份；
• 定期更改管理員級別的密碼；
• 定期修補和更新所有操作系統、應用程序和其他技術設備；
• 為了減少惡意代碼執行的攻擊面；建議用戶始終使用具有標準用戶權限的帳戶登錄。

(2) 終端用戶

• 下載之前，請務必重新驗證通過輔助方式（電話、短信、口頭）發送電子郵件/附件的受信任用戶；
• 立即向管理員報告任何可疑活動；
• 切勿將關鍵數據存儲在在線系統上，而應將其存儲在獨立系統上。

(3)ChatGPT用戶安全準則

• 使用 ChatGPT 時，請注意共享的信息。避免共享敏感或機密信息，例如密碼、財務信息或個人詳細信息。
• 謹慎對待鏈接和附件。ChatGPT 可能會提供鏈接或附件作為其答案的一部分，但在單擊它們之前請務必小心謹慎。請務必驗證鏈接或附件的來源，并謹防可疑/未知來源。
• 政府機構工作人員手機不得用于 ChatGPT。

(4) 如果在使用ChatGPT時遇到安全問題，請立即向Open AI報告。

參考鏈接：https://www.thenews.com.pk/latest/1088379-warning-for-those-using-chatgpt