恶意 ChatGPT 克隆 WormGPT 用于发起电子邮件攻击

图片：Shutterstock

一名黑帽黑客发布了 OpenAI 的 ChatGPT 的恶意版本（称为 WormGPT），然后利用该版本对数千名受害者发起有效的电子邮件网络钓鱼攻击。

根据网络安全公司 SlashNext 的报告，WormGPT 基于 EleutherAI 开发的 2021 GPTJ 大语言模型，专为恶意活动而设计。功能包括无限字符支持、聊天内存保留和代码格式化，并且 WormGPT 已经过恶意软件相关数据集的培训。

网络犯罪分子现在使用 WormGPT 发起一种称为商业电子邮件泄露 (BEC) 攻击的网络钓鱼攻击。

区块链安全公司Halborn David Schwed的首席运营官在 Telegram 上对记者表示：“与 WormGPT 的区别在于 ChatGPT 设有防护栏，以防止非法或邪恶的用例。” “WormGPT没有这些防护措施，因此您可以要求它为您开发恶意软件。”

网络钓鱼攻击是最古老但最常见的网络攻击形式之一，通常通过电子邮件、短信或社交媒体帖子以假名执行。在商业电子邮件泄露攻击中，攻击者冒充公司高管或员工，诱骗目标发送金钱或敏感信息。

得益于生成式人工智能的快速发展，ChatGPT 或 WormGPT 等聊天机器人可以编写令人信服的类人电子邮件，从而使欺诈性消息更难被发现。

SlashNext 表示，WormGPT 等技术降低了发动有效 BEC 攻击的门槛，为技术水平较低的攻击者提供了支持，从而创造了更大的潜在网络犯罪分子群体。

为了防止商业电子邮件泄露攻击，SlashNext 建议组织使用增强的电子邮件验证，包括对冒充内部人物的电子邮件进行自动警报，以及使用通常与 BEC 相关的“紧急”或“电汇”等关键字标记电子邮件。

随着网络犯罪分子的威胁不断增加，企业不断寻找保护自己和客户的方法。

今年 3 月，ChatGPT 创建者 OpenAI 的最大投资者之一微软推出了一款名为Security Copilot的专注于安全的生成式 AI 工具。Security Copilot 利用人工智能来增强网络安全防御和威胁检测。

微软在声明中表示：“在每秒发生 1,287 次密码攻击的世界里，分散的工具和基础设施不足以阻止攻击者。” “尽管攻击在过去五年中增加了 67%，但安全行业却无法聘请足够的网络风险专业人员来跟上步伐。”