安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件

安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件一位网络安全研究人员声称，他利用ChatGPT开发了一个零日漏洞攻击程序，可以从被攻击的设备中窃取数据。令人震惊的是，该恶意软件甚至逃避了VirusTotal上所有供应商的检测。Forcepoint的AaronMulgrew说，他在恶意软件创建过程的早期就决定不自己编写任何代码，只使用先进的技术，这些技术通常是由像部分国家支持的复杂威胁行为者采用的。Mulgrew将自己描述为恶意软件开发的"新手"，他使用的是Go执行语言，不仅因为它易于开发，而且还因为他可以在需要时手动调试代码。他还使用了隐写术，将秘密数据隐藏在普通文件或信息中，以避免被发现。Mulgrew一开始直接要求ChatGPT开发恶意软件，但这让聊天机器人的护栏开始发挥作用，它以道德理由直截了当地拒绝执行这项任务。然后，他决定发挥创意，要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。这一次，他的努力获得了成功，ChatGPT创造了包含入侵能力的代码，并且还绕过了VirusTotal上所有反恶意软件的检测。然而，要求编写混淆代码以避免检测被证明是棘手的，因为ChatGPT认识到这种要求是不道德的，并拒绝遵守它们。尽管如此，Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时，有五个供应商将其标记为恶意软件。经过几次调整，代码被成功混淆，没有一个供应商将其识别为恶意软件。Mulgrew说整个过程"只花了几个小时"。如果没有这个聊天机器人，他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件，并确保它能躲避安全应用程序的检测。虽然Mulgrew创建恶意软件是为了研究目的，但他说，使用这种工具的理论上的零日攻击可以针对高价值的个人，渗透并发回计算机里的重要文件。...PC版：https://www.cnbeta.com.tw/articles/soft/1353193.htm手机版：https://m.cnbeta.com.tw/view/1353193.htm

安全专家警告：网络犯罪分子正利用 ChatGPT 编写恶意软件并策划创造约会聊天机器人用以诈骗

安全专家警告：网络犯罪分子正利用ChatGPT编写恶意软件并策划创造约会聊天机器人用以诈骗网络安全研究人员周五警告说，网络犯罪分子已经开始使用OpenAI的人工智能聊天机器人ChatGPT来快速构建黑客工具。一位监控犯罪论坛的专家告诉福布斯，诈骗者还在测试ChatGPT构建其他聊天机器人的能力，这些聊天机器人旨在冒充年轻女性来诱捕目标。许多早期的ChatGPT用户已经发出警告，该应用程序在去年12月推出后的几天内迅速传播开来，它可以编写能够监视用户键盘敲击或创建勒索软件的恶意软件。网络情报公司HoldSecurity的创始人亚历克斯霍尔登说，他看到约会诈骗者也开始使用ChatGPT，因为他们试图创造令人信服的角色。他说：“他们计划创建聊天机器人来模仿大多数女孩，以便在聊天中走得更远。”“他们正试图将闲聊自动化。”虽然ChatGPT编码的工具看起来“非常基础”，但CheckPoint表示，更多“老练”的黑客找到一种将AI转化为他们优势的方法只是时间问题。OpenAI的工具将能够构建更基本但同样有效的恶意软件来降低新手进入非法市场的门槛。——

【Meta安全报告：与ChatGPT相关的恶意软件正在激增】

【Meta安全报告：与ChatGPT相关的恶意软件正在激增】Facebook母公司Meta发布第一季度安全报告称，近期发现与ChatGPT相关的恶意软件正在激增。一些恶意软件以提供ChatGPT相关联的工具为幌子，试图侵入人们的设备；很多黑客软件声称可以通过浏览器扩展和在线应用商店提供基于Chatgpt的工具，而这些工具中往往包含恶意软件，旨在让黑客侵入人们的设备。Meta表示，仅在今年，该公司就发现并破坏了近10种新的恶意软件，包括冒充ChatGPT浏览器扩展和生产力工具的恶意软件等。这些恶意软件通过电子邮件网络钓鱼、恶意浏览器扩展、广告和移动应用程序以及各种社交媒体平台来诱骗用户。此前4月消息，Meta将于年底前启用生成式AI工具，拟在元宇宙中构建虚拟世界。

黑客利用恶意软件关闭乌克兰城市供暖系统

黑客利用恶意软件关闭乌克兰城市供暖系统安全研究人员和乌克兰当局得出结论，由于市政能源公司遭受网络攻击，今年1月中旬的两天里，利沃夫市的一些乌克兰人不得不生活在没有集中供暖的情况下，并忍受着严寒。23日，网络安全公司Dragos发布了报告，详细介绍了一种名为FrostyGoop的新恶意软件，该公司称该恶意软件主要针对工业控制系统。研究人员于4月份首次检测到该恶意软件。乌克兰当局表示，他们发现证据表明该恶意软件在1月22日深夜至1月23日期间在利沃夫的网络攻击中被使用，这导致600多栋公寓楼停暖近48小时。研究人员称恶意软件是通过Modbus协议与工业控制设备进行交互，因此可用于攻击其他公司和设施。——

研究显示:ChatGPT可能会被诱骗生成恶意代码 | 站长之家

研究显示:ChatGPT可能会被诱骗生成恶意代码站长之家近日，英国谢菲尔德大学的研究人员发表的一项研究揭示了一项令人担忧的发现:人工智能（AI）工具，如ChatGPT，可以被操纵，用于生成恶意代码，从而可能用于发动网络攻击。该研究是由谢菲尔德大学计算机科学系的学者进行的，首次证明了Text-to-SQL系统的潜在危险，这种AI系统可以让人们用普通语言提出问题，以搜索数据库，广泛应用于各行各业。研究发现，这些AI工具存在安全漏洞，当研究人员提出特定问题时，它们会生成恶意代码。一旦执行，这些代码可能泄露机密数据库信息，中断数据库的正常服务，甚至摧毁数据库。研究团队成功攻击了六种商业AI工具，其中包括高知名度的BAIDU-UNIT，该工具在众多领域中得到广泛应用，如电子商务、银行业、新闻业、电信业、汽车业和民航业等。这项研究也突出了人们如何利用AI学习编程语言以与数据库互动的潜在风险。越来越多的人将AI视为提高工作效率的工具，而不仅仅是对话机器人。例如，一名护士可能会向ChatGPT提出编写SQL命令的请求，以与存储临床记录的数据库互动。然而，研究发现，ChatGPT生成的SQL代码在许多情况下可能对数据库造成损害，而护士可能在不受警告的情况下导致严重的数据管理错误。此外，研究还揭示了一种可能的后门攻击方法，即通过污染训练数据，在Text-to-SQL模型中植入“特洛伊木马”。这种后门攻击通常不会对模型的性能产生一般性影响，但可以随时触发，对使用它的任何人造成实际危害。研究人员表示，用户应该意识到Text-to-SQL系统中存在的潜在风险，尤其是在使用大型语言模型时。这些模型非常强大，但其行为复杂，很难预测。谢菲尔德大学的研究人员正在努力更好地理解这些模型，并允许其充分发挥潜力。该研究已经引起了业界的关注，一些公司已经采纳了研究团队的建议，修复了这些安全漏洞。然而，研究人员强调，需要建立一个新的社区来对抗未来可能出现的高级攻击策略，以确保网络安全策略能够跟上不断发展的威胁。

【慢雾：针对macOS系统恶意软件RustBucket可触发恶意活动密钥】

【慢雾：针对macOS系统恶意软件RustBucket可触发恶意活动密钥】2023年05月23日12点12分老不正经报道，SlowMist发布安全警报，针对macOS运行系统的Rust和Objective-C编写的恶意软件RustBucket，感染链由一个macOS安装程序组成，该安装程序安装了一个带后门但功能正常的PDF阅读器。然后伪造的PDF阅读器需要打开一个特定的PDF文件，该文件作为触发恶意活动的密钥。