黑客如何利用ChatGPT提升技能——《華爾街日報》

AI降低了網絡釣魚信息中的語言障礙和語法錯誤。插圖：喬恩·克勞斯消費者請注意：像ChatGPT這樣的AI聊天機器人可能會推動網絡釣魚和魚叉式釣魚等在線欺詐手段的使用頻率和有效性上升。

事實上，這種情況可能已經發生。雲安全服務商Zscaler數據顯示，2022年全球網絡釣魚攻擊量同比激增近50%。部分專家指出，讓釣魚信息更具欺騙性的人工智能軟件正是問題根源之一。AI能消除語言隔閡和語法錯誤，幫助詐騙分子偽裝成目標對象的同事、朋友或親屬。

“這個新時代將比以往任何時候都更危險，“紐約大學公共利益技術聯盟研究主任梅雷迪思·布魯薩德警告道，“而過去的情況已經非常非常糟糕了。”

高風險博弈

AI聊天機器人呈現爆發式流行，其中最知名的當屬微軟戰略合作伙伴OpenAI開發的ChatGPT。目前數十款基於大語言模型的聊天機器人正加速普及，它們能根據海量數據高度模擬人類交流。這些模型既能幫助辦公人員快速起草日常備忘錄，也可能被犯罪分子用於欺詐受害者或傳播惡性病毒。

長期以來，網絡釣魚攻擊的典型跡象包括語法或拼寫錯誤。但人工智能可以讓網絡釣魚攻擊更具可信度和傳播力——這不僅因為它能用多種語言生成流暢、符合語法的信息，還因為它能模仿個人的説話或寫作風格。

“大型語言模型的核心價值在於它們能模仿人類的表達方式，“雲網絡與安全服務商Cato Networks的安全戰略高級總監埃泰·莫爾表示。

莫爾指出，只要獲得學習某人郵件和短信寫作風格的機會，AI程序就能模仿公司高管的通信方式。

“關鍵在於建立信任。如果我能讓你認為我是你們中的一員，你就會以更多信任、更少懷疑的態度配合行動，“安全培訓與模擬釣魚平台KnowBe4的計算機安全專家羅傑·格里姆斯解釋道。

格里姆斯稱，藉助AI技術，犯罪分子能快速掌握行業術語，從而更有針對性地攻擊醫院、銀行和金融科技類企業。

定向攻擊升級

AI在網絡釣魚和魚叉式釣魚攻擊中的作用不僅限於模仿真實的人類交流。機器學習的分析能力還能精準鎖定組織中最易受攻擊的目標及最佳攻擊方式。

互聯網情報公司DomainTools研究數據副總裁肖恩·麥克尼舉了一個假設案例：假設某公司會計在社交媒體上無意抱怨近期審計遇到的困擾。AI可據此分析該會計的同事關係、公司彙報架構，以及公司內部其他易受攻擊人員。攻擊者隨後可偽造首席財務官發送魚叉式釣魚郵件，提及審計差異並要求收件人打開含病毒的電子表格附件。

卡內基梅隆大學海因茨學院院長拉瑪亞·克里希南建議採取主動措施防範此類攻擊。

首先，他表示人們在採取行動前，應始終通過獨立渠道核實請求的真實性。克里希南指出，這意味着在點擊鏈接或轉賬前，收件人應通過熟悉的電話號碼聯繫對方，或親自前往對方辦公室確認請求。

莫爾建議對收到的所有信息保持適度懷疑：問問自己為什麼銀行會發郵件？為何帶有緊迫感？為什麼附有可點擊的附件？點擊前將鼠標懸停在鏈接上查看目標網址是否可信也是明智之舉。“如果覺得有異常，就不要點擊”，莫爾強調。

其他防護措施

紐約大學亞瑟·L·卡特新聞研究所副教授布魯薩德認為，加強對人工智能的監管同樣重要。

網絡安全公司Centripetal首席架構師戴夫·安提出，應利用AI技術本身來識別AI生成的惡意內容，但相關識別模型需迭代升級，數據質量也需提升。安表示，基於AI的成功攻擊案例數據將幫助網絡安全專家訓練新模型，以更精準識別惡意行為。

其他可能的防護手段包括為用户提供內容真實性驗證途徑。克里希南舉例説，可在AI生成文本中嵌入名為"數字水印"的隱藏標識來區分人機創作，但這些工具的應用範圍目前仍有限制。

克里希南表示：“我們還沒有大規模部署它們，以解決我們今天面臨的惡意行為者潛在威脅。”

謝麗爾·温諾庫爾·芒克是新澤西州西奧蘭治的作家。她的聯繫方式是[email protected]。

刊登於2023年6月7日的印刷版，標題為《黑客如何利用ChatGPT提升他們的遊戲水平》。