兄弟，那個幫爺爺賣茶葉的善良女孩，可能是ChatGPT

詹士 發自 凹非寺

ChatGPT，越來越刑了!

已有不法分子將其「打扮成」年輕女孩，放社交軟體上，引誘男性上鉤，進而實施詐騙。

△面向中國市場，可能是個朋友圈裡的賣茶女孩

事實上，據Forbes最新訊息，ChatGPT不法用途還不止於此。

它不僅能編寫程序，監視鍵盤輸入資訊，也能自己生成勒索軟體，甚至，還有人用其編寫暗網上毒品交易市場各種功能的程式碼。而對很多不擅長英語的異國駭客，ChatGPT也是協助生成英文釣魚網站絕佳從犯。

安全研究機構（如Check Point）已關注到了ChatGPT被用於不法行徑的問題，引發很多網友熱議。

有人感慨：這還只是開始。

也有人提議，要自己構建個ChatGPT聊天機器人，與詐騙聊天機器人嘮嘮，會發生什麼？

所以，ChatGPT是如何被「帶壞」的？

ChatGPT惡意打開方式有幾種？

ChatGPT在2022年11月剛發佈時，就有不少人預測，它可能被用於非法網路犯罪。

甚至有人親自下場，試驗了一下用ChatGPT如何觸碰網路犯罪紅線。

從構建魚叉式網路釣魚郵件，到運行能接受英語命令的反向shell，ChatGPT都能Hold住。

△ChatGPT生成的釣魚郵件

值得明確的是，上述都停留在「假設」與「警告」中。

直到這兩天，IT安全公司Check Point表示，他們找到了確切證據。通過對幾個主流地下駭客社區論壇的分析，調研者發現：

已有第一批網路犯罪分子使用OpenAI開發惡意工具，他們中，甚至有人沒有程式碼開發能力。

為證明所言不虛，調研者分享了一些案例。

比如2022年12月29日的一篇帖子，它來自地下駭客論壇，名為《ChatGPT-作為惡意軟體的好處》。

帖子作者表示，他已經在嘗試用ChatGPT創建惡意軟體，隨文還分享出一段基於 Python 的竊取器的程式碼。

該程序會搜尋12種常見檔案類型，比如Office文件、PDF及圖片，當發現特定檔案後，程序會將它們複製到Temp檔案夾內，壓縮並上傳到FTP伺服器。

網路安全分析者還指出，該程序發送檔案過程中並未加密，因此，第三方也可能獲得上述傳輸的檔案。

該帖子作者還分享了一段Java程式碼，它將下載PuTTY。這是一個常見的SSH和telnet客戶端，惡意程式碼將使用Powershell在系統中秘密運行它。通過修改腳本，能下載任何惡意軟體。

值得注意的是，這位發帖者是地下駭客論壇活躍分子，曾參與多個非法腳本開發，比如一個試圖通過網路釣漁獲得使用者敏感資訊的C++程序。他還分享過Android RAT和SpyNote的破解版。

網路安全機構調研者認為，此人是個技術能手，這篇帖子是個教程，旨在向低開發能力的不法分子展示利用ChatGPT的方法及實例。

如果上述帖子是技術派帶壞ChatGPT的代表，下面一篇帖子，就是門外漢利用AI作惡的旁證。

這位名為USDoD的駭客發佈了一個原創腳本，特意強調這是他創建的第一個腳本。下方有人指出該程式碼很像AI生成程式碼時，他也承認，OpenAI提供了一個「好幫手」。

其功能是對單個檔案加密，並將訊息認證碼 （MAC）附在檔案末尾，也能將硬編碼路徑加密，並解密參數檔案列表。

儘管上述程式碼可用於合法場景，但是，一旦部分腳本與語法問題加以調整，它就能變成一個勒索軟體。

該發帖者是一位技術不強的活躍分子，曾出售被盜資料庫訪問權，最近還共享過InfraGard資料庫。

相比生成腳本與程式碼，更多不法分子專注於用ChatGPT從事更容易上手的非法交易。

一篇2022年12月31日的帖子討論了——用ChatGPT在暗網創建非法商品市場有多容易。

內容中，涉及交易的物品包括被盜賬戶、銀行卡、惡意軟體，甚至毒品和槍械，付款方式以加密貨幣進行。

其他地下論壇中，也有相當一部分帖子討論如何利用ChatGPT進行詐騙的手法。

有網路安全調研機構向媒體表示，已有詐騙者企圖利用ChatGPT創建聊天bot，模仿女孩聊天，用以低成本和受害男性聊天，博取他們信任，從而實施詐騙。

Check Point調研者補充道，儘管ChatGPT所生成的惡意軟體及程式碼很基礎，不可能像此前攻破愛爾蘭衛生系統的Conti一樣精緻，但其潛在危害在於降低了新手違法的門檻。

他繼續補充，該門檻不僅針對技術，對於不擅長英語的各國駭客，ChatGPT也是生成合法釣魚郵件的「絕佳工具」。在釣魚郵件犯罪中，AI也可能被用於個性化生成內容。

值得一提的是，在地下駭客論壇，關於在灰色地帶靠ChatGPT獲利的討論內容也不少。有內容討論如何用AI快速創造網文、電子書並銷售獲利，另一部分內容討論了用OpenAI另一個模型DALLE-2生成圖片並出售的操作。

關於上述威脅，也有人去問了問ChatGPT的看法。

AI認為，這類現象並不罕見，並列出常見手法。

更值得注意的是，ChatGPT在結尾很「機智」、「公關」地替母公司給出一套辯護說辭：

值得注意的是，OpenAI本身並不對第三方濫用技術的行為負責，公司已採取了相關措施防止技術被用於惡意目的，比如出臺條款要求使用者同意——禁止將其技術用於非法或有害活動。

最後問問，對濫用ChatGPT現象，你有解決方案麼？

參考連結：

[1]https://www.forbes.com/sites/thomasbrewster/2023/01/06/chatgpt-cybercriminal-malware-female-chatbots/?sh=1f13474c5534

[2]https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/