最近，Abnormal Security的研究人員發現了一個專門為網絡犯罪創建的無審查AI聊天機器人——GhostGPT，是人工智能用于非法活動的新前沿，可以被用于網絡釣魚計劃、惡意軟件開發和漏洞利用開發。

GhostGPT的主要特點

• 快速處理：使攻擊者能夠快速生成惡意內容。
• 無日志政策：聲稱不記錄用戶活動，吸引那些尋求匿名的人。
• 易于訪問：通過 Telegram 分發，用戶無需技術專業知識或額外軟件設置即可訪問。

GhostGPT被宣傳為用于各種網絡犯罪活動的工具，包括：

• 制作惡意軟件和漏洞利用程序。
• 為商業電子郵件泄露（BEC）詐騙編寫釣魚郵件。
• 自動化社交工程攻擊。

為了測試其功能，研究人員提示GhostGPT創建一封模仿DocuSign的釣魚郵件。

GhostGPT生成的一個令人信服的模板

聊天機器人很快生成了一個令人信服的模板，可以輕松欺騙毫無戒心的收件人。這大大降低了網絡犯罪分子入門的門檻，讓低技能的攻擊者也有可能執行復雜的活動。

引發的問題與擔憂

像GhostGPT這樣的工具的出現，再一次引發了人們對網絡安全和人工智能濫用的重大擔憂：

• 降低了高級黑客工具的獲取門檻：它在Telegram等平臺上的可用性，使得技術專業知識有限的人也能輕松訪問。
• 加速攻擊周期：憑借快速的響應時間和未經審查的輸出，攻擊者可以比以往更高效地創建惡意軟件或釣魚活動，從而縮短從計劃到執行的時間。
• 規?；舨僮鳎荷墒?AI 使攻擊者能夠通過自動化任務（如編寫多封釣魚郵件或生成多態惡意軟件）來擴展其操作。
• 傳統安全措施失效：由于生成內容具有類似人類的質量，防火墻和電子郵件過濾器等傳統安全措施難以檢測AI生成的內容。這使得AI驅動的網絡安全解決方案成為應對這些威脅的關鍵。

GhostGPT并非孤例，之前已經出現過WormGPT以及FraudGPT這樣的無審查AI工具，被用于類似目的。

這些工具體現了生成式人工智能被武器化用于網絡釣魚活動（帶有個性化信息）、開發惡意軟件以及自動化漏洞利用的增長趨勢。

為了應對AI濫用的建議

• AI驅動的安全解決方案：先進的機器學習模型可以檢測出惡意活動的模式，即使傳統方法失效時也能發揮作用。
• AI開發中的倫理準則：開發者必須實施強有力的保障措施，以防止越獄或濫用。
• 立法行動：政府應規范生成式AI工具的分發和使用，同時追究開發者對濫用的責任。
• 網絡安全意識：組織必須教育員工如何識別釣魚嘗試和其他網絡威脅。

GhostGPT是一個典型的例子，體現了當倫理界限被移除時，人工智能的進步可以被惡意利用。

隨著網絡犯罪分子越來越多地采用此類工具，網絡安全社區必須創新出同樣復雜的防御措施。

惡意還是防御，這之間帶來的關于如何使用人工智能的斗爭，可能會定義未來網絡安全的格局。

參考鏈接：https://cybersecuritynews.com/ghostgpt-jailbreak-version-of-chatgpt/