据报道,一位自称新手的人仅使用ChatGPT提示,就在几个小时内创建了一个强大的数据挖掘恶意软件。

ChatGPT刚刚创建了恶意软件,这非常可怕

Forcepoint安全研究员Aaron Mulgrow最近分享了他是如何在OpenAI的生成聊天机器人上专门创建零日恶意软件的。虽然OpenAI可以防止任何试图要求ChatGPT编写恶意代码的人,但Mulgrow发现了一个漏洞,他提示聊天机器人逐个功能创建单独的恶意代码行。

在编译完各个函数后,Mulgrow在他手中创建了一个几乎无法检测到的数据窃取可执行文件。这也不是你的普通恶意软件——这种恶意软件和任何民族国家的攻击一样复杂,能够躲避所有基于检测的供应商。

同样重要的是,Mulgrow的恶意软件是如何推迟“常规”民族国家迭代的,因为它不需要黑客团队(以及一小部分时间和资源)来构建。Mulgrow自己没有做任何编码,他在几个小时内就准备好了可执行文件,而通常需要几周的时间。

Mulgrow恶意软件(它有一个很好的环,不是吗?)伪装成一个屏幕保护程序(SCR扩展),然后在Windows上自动启动。然后,该软件将筛选文件(如图像、Word文档和PDF),以寻找要窃取的数据。令人印象深刻的是,恶意软件(通过隐写术)会将被盗数据分解成更小的片段,并将其隐藏在计算机上的图像中。然后,这些图像被上传到谷歌硬盘文件夹,这一过程可以避免检测。

同样令人印象深刻的是,Mulgrow能够在ChatGPT上使用简单的提示来完善和加强他的代码以防检测,这确实提出了使用ChatGPT的安全性问题。运行早期的VirusTotal测试时,69个检测产品中有5个检测到了恶意软件。随后,他的代码的更新版本没有被任何产品检测到。

请注意,Mulgrow创建的恶意软件是一个测试,不公开。尽管如此,他的研究表明,几乎没有高级编码经验的用户可以很容易地绕过ChatGPT的薄弱保护,轻松创建危险的恶意软件,甚至不需要输入一行代码。

但这一切的可怕之处在于:这类代码通常需要更大的团队数周才能编译。如果邪恶的黑客已经在我们说话的时候通过ChatGPT开发类似的恶意软件,我们也不会感到惊讶。