黑客如何利用ChatGPT提升技能——《华尔街日报》

AI降低了网络钓鱼信息中的语言障碍和语法错误。插图：乔恩·克劳斯消费者请注意：像ChatGPT这样的AI聊天机器人可能会推动网络钓鱼和鱼叉式钓鱼等在线欺诈手段的使用频率和有效性上升。

事实上，这种情况可能已经发生。云安全服务商Zscaler数据显示，2022年全球网络钓鱼攻击量同比激增近50%。部分专家指出，让钓鱼信息更具欺骗性的人工智能软件正是问题根源之一。AI能消除语言隔阂和语法错误，帮助诈骗分子伪装成目标对象的同事、朋友或亲属。

“这个新时代将比以往任何时候都更危险，“纽约大学公共利益技术联盟研究主任梅雷迪思·布鲁萨德警告道，“而过去的情况已经非常非常糟糕了。”

高风险博弈

AI聊天机器人呈现爆发式流行，其中最知名的当属微软战略合作伙伴OpenAI开发的ChatGPT。目前数十款基于大语言模型的聊天机器人正加速普及，它们能根据海量数据高度模拟人类交流。这些模型既能帮助办公人员快速起草日常备忘录，也可能被犯罪分子用于欺诈受害者或传播恶性病毒。

长期以来，网络钓鱼攻击的典型迹象包括语法或拼写错误。但人工智能可以让网络钓鱼攻击更具可信度和传播力——这不仅因为它能用多种语言生成流畅、符合语法的信息，还因为它能模仿个人的说话或写作风格。

“大型语言模型的核心价值在于它们能模仿人类的表达方式，“云网络与安全服务商Cato Networks的安全战略高级总监埃泰·莫尔表示。

莫尔指出，只要获得学习某人邮件和短信写作风格的机会，AI程序就能模仿公司高管的通信方式。

“关键在于建立信任。如果我能让你认为我是你们中的一员，你就会以更多信任、更少怀疑的态度配合行动，“安全培训与模拟钓鱼平台KnowBe4的计算机安全专家罗杰·格里姆斯解释道。

格里姆斯称，借助AI技术，犯罪分子能快速掌握行业术语，从而更有针对性地攻击医院、银行和金融科技类企业。

定向攻击升级

AI在网络钓鱼和鱼叉式钓鱼攻击中的作用不仅限于模仿真实的人类交流。机器学习的分析能力还能精准锁定组织中最易受攻击的目标及最佳攻击方式。

互联网情报公司DomainTools研究数据副总裁肖恩·麦克尼举了一个假设案例：假设某公司会计在社交媒体上无意抱怨近期审计遇到的困扰。AI可据此分析该会计的同事关系、公司汇报架构，以及公司内部其他易受攻击人员。攻击者随后可伪造首席财务官发送鱼叉式钓鱼邮件，提及审计差异并要求收件人打开含病毒的电子表格附件。

卡内基梅隆大学海因茨学院院长拉玛亚·克里希南建议采取主动措施防范此类攻击。

首先，他表示人们在采取行动前，应始终通过独立渠道核实请求的真实性。克里希南指出，这意味着在点击链接或转账前，收件人应通过熟悉的电话号码联系对方，或亲自前往对方办公室确认请求。

莫尔建议对收到的所有信息保持适度怀疑：问问自己为什么银行会发邮件？为何带有紧迫感？为什么附有可点击的附件？点击前将鼠标悬停在链接上查看目标网址是否可信也是明智之举。“如果觉得有异常，就不要点击”，莫尔强调。

其他防护措施

纽约大学亚瑟·L·卡特新闻研究所副教授布鲁萨德认为，加强对人工智能的监管同样重要。

网络安全公司Centripetal首席架构师戴夫·安提出，应利用AI技术本身来识别AI生成的恶意内容，但相关识别模型需迭代升级，数据质量也需提升。安表示，基于AI的成功攻击案例数据将帮助网络安全专家训练新模型，以更精准识别恶意行为。

其他可能的防护手段包括为用户提供内容真实性验证途径。克里希南举例说，可在AI生成文本中嵌入名为"数字水印"的隐藏标识来区分人机创作，但这些工具的应用范围目前仍有限制。

克里希南表示：“我们还没有大规模部署它们，以解决我们今天面临的恶意行为者潜在威胁。”

谢丽尔·温诺库尔·芒克是新泽西州西奥兰治的作家。她的联系方式是[email protected]。

刊登于2023年6月7日的印刷版，标题为《黑客如何利用ChatGPT提升他们的游戏水平》。