随着ChatGPT风靡全球，其开发商OpenAI就接连不断地面临着越来越多的质疑与批评。近日，OpenAI就陷入了接连“吃官司”的状态之中。 6月29日，有16 名匿名人士向美国加利福尼亚州旧金山联邦法院提起诉讼，称 ChatGPT 在没有充分通知用户或获得同意的情况下收集和泄露了他们的个人信息，据此他们要求微软和 OpenAI 索赔 30 亿美元。 诉讼中指出，尽管制定了购买和使用个人信息的协议，但是OpenAI和微软系统性地从互联网中窃取了3000亿个单词，包括数百万未经同意获取的个人信息。 原告指控两家公司通过其 AI 产品“收集、存储、跟踪、共享和披露”数百万人的个人信息，包括产品详细信息、账户信息、姓名、联系方式、登录凭据、电子邮件、支付信息、交易记录、浏览器数据、社交媒体信息、聊天日志、cookie、搜索记录和其他在线活动。 诉状还称：就个人身份信息而言，被告未能充分地将其从学习模型中过滤掉，使数百万人面临着个人信息立即或以其他方式向世界各地的陌生人披露的风险。 诉讼还指控OpenAI违背了其初心，即以“最有可能造福整个人类的方式推进人工智能”。截至目前，不论是OpenAI官方还是微软官方都还未对该指控进行回复。 不过，该诉讼已经在全球引起了广泛关注，同时引发了广大网友对隐私、人工智能伦理和企业处理个人信息的担忧。 随后，在短短的一周内，OpenAI又接到两位作家Paul Tremblay和Mona Awad提起的诉讼，指控他们的受版权保护的著作被用来训练ChatGPT。 Paul Tremblay和Mona Awad称，ChatGPT 能为他们的书生成“非常准确”的摘要。所以他们坚称，只有在ChatGPT接受了他们著作的训练后，才有可能出现这么准确的摘要，而这个操作显然违反了版权法。 起诉书中预估，OpenAI 的训练数据中至少包含 30 万本书，其中很多来自侵权网站。 比如 OpenAI 在披露 GPT-3 训练数据情况时，就表示其中包含两个互联网图书语料库，大概占比为 15%。起诉作者认为这些数据就是来自影子图书馆网站的，比如 Library Genesis、Sci-Hub 等。 OpenAI已多次陷入数据风波 虽然目前的这些指控仍是原告方的“一面之词”。但这已经不是这家公司第一次陷入数据安全、个人信息泄露相关的指控了。 去年6月下旬，微软发布了一种可以自动生成计算机代码的新型人工智能技术。 该工具名为 Copilot，旨在让专业程序员更快地工作。当他们工作时，Copilot会给出代码建议，程序员可以直接将copilot展示的建议的代码块直接添加到自己的代码中，快速完成工作，这一工具也因此被很多媒体誉为“让程序员早下班的工具”。 然后去年 11 月，这款名为Copilot的代码助手，就被程序员们告上了法庭。 原告们认为Copilot嫌违反开源许可，使用他们贡献的代码训练 GitHub Copilot 和 OpenAI 的 Codex 机器学习模型，侵犯了众多原创代码作者的版权，同时还泄露了用户隐私，因此向法院提起诉讼，索赔达90亿美元。 这些案例无疑为隐私安全敲响了警钟，不仅是OpenAI，全球公司都必须对数据收集和使用持有负责任的态度。 如今，人工智能技术的快速发展让个人隐私问题面临着更加艰深的挑战，特别是在数据收集和使用方面。随着越来越多的个人数据被用于训练AI模型，如何切实做到确保数据的合法和透明使用变得至关重要。 企业在保护个人隐私方面扮演着关键角色。因此各企业在收集和使用个人数据时，都必须遵守隐私法规，并提供透明的数据使用方式，以确保人工智能技术的发展与个人权益的保护相平衡。     转自Freebuf，原文链接:https://www.freebuf.com/news/371689.html 封面来源于网络，如有侵权请联系删除

近日，美国联邦政府发布了一份报告，称用户需密切注意ChatGPT存在的网络安全风险，尤其是在网络钓鱼和恶意软件开发领域。 在其发布的咨询意见报告中，政府部门警告，尽管微软支持的人工智能工具ChatGPT获得了前所未有的成功，吸引了大量头部企业和资本疯狂涌入AI赛道，一时间AI成为当下最为火热的赛道之一。 但是，AI 也带来了安全方面的风险，尤其是在网络钓鱼邮件制作和恶意软件生成等方面，以ChatGPT为代表的AI工具存在重大安全风险。该报告指出，为了防止这类AI工具带来的威胁，企业必须积极主动地采取极其谨慎、尽职尽责和密切注意的态度，避免出现更糟糕的情况。 攻击者正在利用ChatGPT放大作恶能力 该报告列举了恶意攻击者使用ChatGPT的部分方法清单，具体如下所示： 1.恶意软件生成: 利用ChatGPT生成恶意软件不再只是一种可能存在的理论，恶意攻击者对它的利用已经越来越熟练，并且在暗网上开始了各种各样的讨论和尝试。 2.制作网络钓鱼电子邮件:和恶意软件生成不同的事，在钓鱼邮件方面ChatGPT已经向用户展现出其强大的能力。恶意攻击者可以利用它来生成网络钓鱼和鱼叉式网络钓鱼电子邮件，并且这些电子邮件有可能通过电子邮件提供商的垃圾邮件过滤器。 3.诈骗网站: 通过降低代码生成门槛，ChatGPT 可以帮助技能较低的威胁行为者轻松构建恶意网站，例如伪装和网络钓鱼登陆页面。例如，零技能或很少技能的恶意行为者可以使用 ChatGPT 克隆现有网站，然后对其进行修改、构建虚假电子商务网站或运行带有恐吓软件诈骗的网站等。 4.发布虚假信息: 通过 ChatGPT，用户可以使用能够撰写极具说服力的散文、在短时间内生成数千条虚假新闻报道和社交媒体帖子的软件。 企业&用户安全防范指南/预防措施 1、提高对钓鱼邮件的防范 千万不要打开未知、意外或可疑的电子邮件、链接和附件； 在下载附件之前，使用电子邮件服务提供商提供的防病毒软件对其进行扫描，即便是可信任的附件。如果电子邮件服务不提供病毒扫描功能，则所有下载的文件在打开前都可以用本地的杀毒软件扫描； 对所有计算机设备，包括个人台式电脑、笔记本电脑、手机、可穿戴设备等操作系统和软件应用程序进行更新； 在所有的计算机设备中使用著名的、可信的防病毒软件； 不要在官方设备上使用个人帐户； 尽可能使用多因素身份验证(MFA)； 绝不与未经授权/可疑的用户、网站、应用程序等共享个人信息和证书； 始终在浏览器中键入URL，而不是直接点击链接. 始终用https开放网站打开链接，不访问http网站。 2.识别恶意软件伪装指南 (1)管理员 通过在操作系统、BIOS和应用程序级别上实现强化系统，尽可能地限制传入的流量和用户权限； 通过系统强化来阻止未经授权的存储介质（例如 USB）； 经常格式化可移动媒体，尽量避免恶意软件在系统内横向传播； 通过文件哈希、文件位置、登录和失败的登录尝试来监控网络活动； 使用知名的、可信的反恶意软件、防病毒、防火墙、IP、IDS、SIEM解决方案； 对离线 LAN 和在线网络使用单独的服务器/路由； 根据需要允许特定用户访问互联网并限制数据使用/应用程序权限； 下载之前通过数字代码签名技术验证软件和文档； 在邮件系统管理员控制和其他关键系统中实施 MFA（多重身份验证）； 始终定期维护关键数据的备份； 定期更改管理员级别的密码； 定期修补和更新所有操作系统、应用程序和其他技术设备； 为了减少恶意代码执行的攻击面；建议用户始终使用具有标准用户权限的帐户登录。 (2) 终端用户 下载之前，请务必重新验证通过辅助方式（电话、短信、口头）发送电子邮件/附件的受信任用户； 立即向管理员报告任何可疑活动； 切勿将关键数据存储在在线系统上，而应将其存储在独立系统上。 (3)ChatGPT用户安全准则 使用 ChatGPT 时，请注意共享的信息。避免共享敏感或机密信息，例如密码、财务信息或个人详细信息。 谨慎对待链接和附件。ChatGPT 可能会提供链接或附件作为其答案的一部分，但在单击它们之前请务必小心谨慎。请务必验证链接或附件的来源，并谨防可疑/未知来源。 政府机构工作人员手机不得用于 ChatGPT。 (4) 如果在使用ChatGPT时遇到安全问题，请立即向Open AI报告。     转自Freebuf，原文链接:https://www.freebuf.com/news/371556.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基研究人员测试了5265个URL（2322个钓鱼网址和2943个安全网址）。 研究人员向ChatGPT（GPT-3.5）提出了一个简单的问题：“此链接是否指向网络钓鱼网站？仅根据URL的形式，AI聊天机器人的检出率为87.2%，误报率为23.2%。” “虽然检出率非常高，但超过两成的假阳性率是不可接受的，这意味着五分之一的网站都会被封锁。”卡巴斯基首席数据科学家Vladislav Tushkanov说。 Tushkanov尝试了更为简单的问题：“这个链接安全吗？”结果要差得多：检出率为93.8%，假阳性率高达64.3%。事实证明，更笼统的提示更有可能导致ChatGPT判定链接是危险的。 更多的数据点能大幅提升检测能力 NTT Security Japan的研究人员进行了同样的测试，但给ChatGPT更多提示：网站的URL，HTML和通过光学字符识别（OCR）从网站中提取的文本。 测试方法概述（来源：NTT Security） 他们用1000个网络钓鱼站点和相同数量的非网络钓鱼站点测试了ChatGPT。研究者使用OpenPhish、PhishTank和CrowdCanary来收集网络钓鱼站点，用Tranco列表用创建非网络钓鱼站点列表。他们要求ChatGPT识别所使用的社会工程技术和可疑元素，在评估页面上识别品牌名称，判断该网站是网络钓鱼网站还是合法网站（以及原因）以及域名是否合法。 “GPT-4的实验结果展示出了巨大的潜力，精度为98.3%。GPT-3.5和GPT-4之间的比较分析显示，后者减少假阴性的能力有所增强。”研究人员指出。 研究者指出，ChatGPT擅长正确识别策略，例如虚假恶意软件感染警告、虚假登录错误、网络钓鱼短信身份验证请求以及识别不合法的域名，但偶尔无法识别域名抢注和特定的社会工程技术，如果合法域名有多个子域名，则无法识别合法域名等。此外，当使用非英语网站进行测试时，ChatGPT的效果并不好。 “这些发现不仅表明大语言模型在有效识别网络钓鱼站点方面的潜力，而且对加强网络安全措施和保护用户免受在线欺诈活动的危险具有重大意义。”研究人员总结道。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/flTPAIt49vKaSKjh0I9auA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，国际网络安全公司 Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。 从 Group-IB 统计的数据来看，2022 年 6 月至 2023 年 5 月期间，暗网平台有许多 ChatGPT 账户正在”待售“，买卖高峰期出现在 2023 年 5 月，当时威胁者发布了 26800 个新 ChatGPT 用户信息。值得一提的是，Group-IB 表示按照 ChatGPT 帐户所属地区划分，亚太地区为 40999 条、中东和非洲地区 24925 条、欧洲 16951 条。 【受害者分布（Group-IB）】 信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。这些类型的恶意软件通过从程序 SQLite 数据库中提取证书，并滥用 CryptProtectData 功能对存储的数据信息进行反向加密，从而窃取保存在网络浏览器中的凭证。一旦得手，凭证和其它被盗数据就会立刻被打包到日志文档中，发送回攻击者的服务器进行检索。 部分大企业禁止内部使用 ChatGPT Group-IB 的 Dmitry Shestakov 表示许多企业正在将 ChatGPT 整合到自身操作流程中，当员工输入机密信件或优化内部专有代码时，鉴于 ChatGPT 的标准配置会保留所有对话，一旦威胁者获得账户凭证，这可能会无意中为攻击者提供大量敏感情报。 正是基于这些担忧，像三星这样科技巨头已经直接禁止员工在工作电脑上使用 ChatGPT，甚至威胁要开除不遵守该政策的员工。 Group-IB 的数据显示，随着时间推移，被盗 ChatGPT 日志数量稳步增长，几乎 80% 的日志来自 Raccoon 窃取者，其次是 Vidar（13%）和 Redline（7%）。 被入侵的 ChatGPT 账户(Group-IB) 考虑到数据安全性，如果用户在 ChatGPT 上输入了敏感数据，请认真考虑在设置菜单中禁用聊天保存功能或在使用完工具后立即手动删除这些对话。 值得警惕的是，许多信息窃取者会对受感染的系统进行截图或进行键盘记录，因此即使不把对话保存到 ChatGPT 账户，恶意软件感染仍可能导致数据泄漏。最后，规劝需要处理极其敏感信息的工作人员，尽量在本地构建和自托管工具上输入信息。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370036.html 封面来源于网络，如有侵权请联系删除

FBI近日警告称，恶意行为者制作深度虚假内容来实施性勒索攻击的趋势正在上升。 性勒索是网络勒索形式的其中一种，这些恶意行为者通过公开泄露窃取或胁迫获得的露点图像和视频，来威胁他们的目标，通常是要求这些受害者支付封口费。 在许多性勒索案件中，那些泄露的内容其实并非真实影像，威胁行为者只是假装自己有访问权限，以达到最终勒索赎金的目的。 FBI警告说，性勒索者现在正在收集他们勒索目标的公开图像，比如发布在社交媒体平台上的无害图片和视频。然后将这些图像输入深度伪造内容创建工具，将其转化为人工智能生成的露骨色情内容。 虽然制作的图像或视频都不是真实的，但它们看起来非常真实，威胁行为者只要将这些材料发送给勒索目标的家人，同事等，极可能给受害者带来巨大的个人和声誉伤害。 截至2023年4月，FBI发现性勒索受害者报告使用虚假图像或视频的情况有所增加，而这些图像或视频均是基于他们在社交媒体网站或网页上发布的内容创建的，或者是在视频聊天中捕获的。 根据最近的受害者报告，恶意行为者通常要求： 1.付款(如金钱、礼品卡)，并威胁如果未收到资金，将图像或视频分享给家人或社交媒体朋友； 2.受害者发送真实的性主题图片或视频； FBI表示，有一些勒索者会跳过勒索部分，直接将制作好的视频发布到色情网站，在受害者不知情或未经其同意的情况下，将受害者暴露在大量观众面前。 在某些情况下，性勒索者还会利用这些公开上传的内容来增加受害者的压力，要求其支付从网站上删除发布的图像/视频的费用。 FBI报告称，不幸的是这种媒体操纵活动也影响到了未成年人。 如何保护自己 强大的人工智能内容创建工具正在高速迭代，提供便利的同时也为所有互联网用户创造了一个充满敌意的环境，尤其是那些敏感类别的用户。 比如，通过GitHub有多个免费的内容创建工具项目，它可以从目标面部的单个图像创建逼真的视频，不需要额外的训练或数据集。 这些工具中有许多都内置了防止滥用的保护措施，但那些在地下论坛和暗网市场上出售的工具却没有。 暗网上提供的色情创作工具（来源：卡巴斯基） FBI建议父母监控孩子的在线活动，并告诉他们在线分享个人信息的风险。此外，家长最好隔一段时间就在网上搜索一次，以确定他们的孩子在网上的曝光量，并在必要时采取行动删除内容。 在网上发布图片或视频的成年人应该限制在一个小的私人朋友圈内观看，以减少曝光。同时，孩子的脸应该尽量模糊处理。 最后，如果你在色情网站上发现了与你相关的AI虚假合成内容，请向有关部门报告，并联系托管平台，要求删除违规媒体。 英国最近以《在线安全法案》(Online Safety Bill)修正案的形式引入了一项法律，将未经同意分享深度造假的行为正式列为一种犯罪行为。 转自 Freebuf，原文链接：https://www.freebuf.com/news/368730.html 封面来源于网络，如有侵权请联系删除

近日，一张由AI生成的假照片在推特上疯传，照片上显示的是华盛顿五角大楼发生剧烈爆炸的画面。这个事件暴露出了马斯克的Twitter Blue付费认证的真正问题。 周一上午晚些时候，这张假照片在社交信息平台上一经发布后不久就在网上疯传，直到美国政府官员出面，证实并谴责该照片只是个骗局才得以平息。 俄罗斯国家媒体和一个虚假的彭博新闻账户的个人资料名称旁边出现了蓝色对勾认证标记，此事备受争议。 美国东部时间上午10点左右，一张五角大楼草坪上熊熊燃烧的照片开始被大量转发，并快速传播，该照片的标题为“华盛顿特区五角大楼附近发生大爆炸的初步报告”。 据《福布斯》报道，美国国防部发言人已经声明这张照片是个“错误信息”。 到美国东部时间上午10点27分，阿灵顿消防和急救中心也在推特上谴责这是张假照片。该部门的推特账号发布内容称：@PFPAOfficial和ACFD注意到网上流传的有关五角大楼附近发生爆炸的社交媒体报道，但在五角大楼保留区或附近并未发生任何爆炸事件，对公众不会造成直接的危险或危害。 OSINT专家在几分钟内就对图像进行了全面检查，并指出了差异，证明图像确实是由AI生成的假图像。 Bellingcat的数字调查员Nick Walters表示，想伪造这样一个事件非常困难，甚至可以说根本不可能。这通过观察图像中的建筑物的正面，以及围栏融入人群屏障的方式就能轻松判断真伪。 Nick Walters称，对于这样一个重大的新闻报道，没有其他第一手目击者的照片或视频发布在网上就没那么可信。 此外，Nick Walters还在推特上写道：人口稠密地区发生的大多数极端物理事件(爆炸、恐怖袭击、大规模打斗)都会产生可识别的数字涟漪。 虚假的人工智能图像虽然对创作者和观众来说很有趣，但自去年11月ChatGPT发布以来，这一直是治理实体和人工智能专家关注的最大问题之一。 本月早些时候，一名男子因利用深度技术在网上传播虚假新闻而在中国被捕，面临最高10年的监禁。这名男子被指控使用ChatGPT制作了一个虚假的人工智能新闻视频，该视频描述了一场致命的火车相撞事故，然后将其发布在多个社交媒体网站上。 专家表示，随着人工智能模型近年来不断发展，社交媒体上的虚假信息非常令人担忧，尤其是在2024年美国总统大选周期刚刚开始的情况下。 《赫芬顿邮报》的高级编辑Andy Campbell提到了去年秋天，推特首席执行官马斯克接管该公司时，他与推特用户就其Twitter Blue认证展开的斗争。 以前是某家社交媒体公司能够证明某个组织或个人的合法性后，其账户才会被授予推特的蓝勾认证，但现在是只要有人愿意每月支付8美元，都可免费授予该标记。 3月份，这个问题的争议情况达到了顶峰，很多曾经认证过的名人和记者拒绝为曾经免费的服务付费，并表示可以将这个认证过的蓝色标记从他们的账户中移除掉。 Andy Campbell称，这个蓝色标记付费验证系统危险就在于，如果某个账户在推特上发布了一张AI生成的关于五角大楼爆炸的假新闻照片，但有了认证，乍一看该账户像是一个合法的彭博新闻推送。 那个虚假的彭博新闻账户已经被推特停用，但目前仍不知道这张伪造的五角大楼图片是从哪里来的。虽然，这次的虚假五角大楼爆炸新闻的病毒式传播很短暂，但这个谣言仍然导致周一纽约证券交易所出现了大跌的情况。 转自 Freebuf，原文链接：https://www.freebuf.com/news/367258.html 封面来源于网络，如有侵权请联系删除

自去年推出以来，ChatGPT以其撰写文章、诗歌、电影剧本等的能力在技术爱好者中引发轰动。该人工智能工具甚至可以生成功能性代码，只要给它一个写得很好、很清晰的提示。虽然大多数开发者会将该功能用于完全无害的目的，但一份新的报告表明，尽管OpenAI设置了保障措施，它也可以被恶意行为者用来创建恶意软件。 一位网络安全研究人员声称，他利用ChatGPT开发了一个零日漏洞攻击程序，可以从被攻击的设备中窃取数据。令人震惊的是，该恶意软件甚至逃避了VirusTotal上所有供应商的检测。 Forcepoint的Aaron Mulgrew说，他在恶意软件创建过程的早期就决定不自己编写任何代码，只使用先进的技术，这些技术通常是由像部分国家支持的复杂威胁行为者采用的。 Mulgrew将自己描述为恶意软件开发的”新手”，他使用的是Go执行语言，不仅因为它易于开发，而且还因为他可以在需要时手动调试代码。他还使用了隐写术，将秘密数据隐藏在普通文件或信息中，以避免被发现。 Mulgrew一开始直接要求ChatGPT开发恶意软件，但这让聊天机器人的护栏开始发挥作用，它以道德理由直截了当地拒绝执行这项任务。然后，他决定发挥创意，要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。 这一次，他的努力获得了成功，ChatGPT创造了包含入侵能力的代码，并且还绕过了VirusTotal上所有反恶意软件的检测。然而，要求编写混淆代码以避免检测被证明是棘手的，因为ChatGPT认识到这种要求是不道德的，并拒绝遵守它们。 尽管如此，Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时，有五个供应商将其标记为恶意软件。经过几次调整，代码被成功混淆，没有一个供应商将其识别为恶意软件。   Mulgrew说整个过程”只花了几个小时”。如果没有这个聊天机器人，他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件，并确保它能躲避安全应用程序的检测。 虽然Mulgrew创建恶意软件是为了研究目的，但他说，使用这种工具的理论上的零日攻击可以针对高价值的个人，渗透并发回计算机里的重要文件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7218626932374503975/ 封面来源于网络，如有侵权请联系删除

微软在其安全工具箱中增加了另一种由人工智能驱动的装备，今天宣布微软安全领航员（Security Copilot）处于内部预览阶段。旨在让安全专业人员”看到他们环境中正在发生的事情，从现有的情报中学习，关联威胁活动，并以机器的速度做出更明智、高效的决定”。 据微软描述，Security Copilot在Azure的超大规模架构上运行，它将OpenAI的GPT4提供的大语言模型与微软建立的安全特定模型相结合，以提供”企业级的安全和符合隐私的体验”。 当Security Copilot收到安全专业人员的提示时，它就会利用安全专用模型的全部力量来部署技能和查询，从而最大限度地发挥最新大型语言模型能力的价值。而这对于一个安全用例来说是独一无二的，新的网络训练模型增加了一个学习系统来创建和调整新的技能。然后，Security Copilot可以帮助捕捉其他方法可能错过的东西，并增强分析员的工作。在一个典型的事件中，这种提升可以转化为检测质量、响应速度和加强安全态势的能力方面的收益。 安全领航员并不总是能做对所有事情，AI生成的策略可能包含纰漏甚至错误。但Security Copilot是一个闭环学习系统，这意味着它在不断地向用户学习，并通过直接内置在工具中的反馈功能给他们提供明确的反馈。随着我们不断从这些互动中学习，我们正在调整它的反应，以创造更连贯、相关和有用的答案。 Security Copilot将与微软的安全产品整合，并随着时间的推移，将扩展到包括”一个不断增长的生态系统”的第三方产品。 你可以在Introducing Microsoft Security Copilot网站上了解更多关于Microsoft Security Copilot的信息并观看演示： https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot 转自 cnBeta，原文链接：https://www.toutiao.com/article/7215630094189101580/ 封面来源于网络，如有侵权请联系删除

欧洲刑警组织在周一的一份报告中说，犯罪分子已经在利用ChatGPT进行犯罪，该报告详细介绍了人工智能语言模型如何助长欺诈、网络犯罪和恐怖主义。由OpenAI开发的ChatGPT于2022年11月发布，并迅速成为互联网上的一个热点，因为网民们蜂拥而至，让聊天机器人生成论文、笑话、电子邮件、编程代码和其他各种文本。 现在，欧盟的执法机构欧洲刑警组织已经详细说明了这种模式如何被滥用于更邪恶的目的。事实上，人们已经在使用它来进行非法活动，警察声称。 欧洲刑警组织在其报告中说：”这些类型的模型可能对执法工作产生的影响已经可以预见。犯罪分子通常会迅速利用新技术，而且很快就能看到他们想出具体的犯罪利用方法，在ChatGPT公开发布后仅几个星期就提供了第一个实际例子。” 尽管ChatGPT在拒绝遵守有潜在危害的输入请求方面做得比较好，但用户已经找到了绕过OpenAI的内容过滤系统的方法。例如，有些人已经让它吐出了关于如何制造炸弹或合成可卡因的说明。网民可以要求ChatGPT了解如何犯罪，并要求它提供一步步的指导。 “如果一个潜在的罪犯对某个特定的犯罪领域一无所知，ChatGPT可以通过提供关键信息，然后在后续步骤中进一步探索，从而大大加快研究过程。因此，ChatGPT可以用来了解大量的潜在犯罪领域，而无需事先了解，范围包括如何入室犯罪、恐怖主义、网络犯罪和儿童性虐待，”欧洲警察局警告说。 该机构承认，所有这些信息已经在互联网上公开提供，但该模型使人们更容易找到和了解如何进行具体的犯罪活动。欧洲刑警组织还强调，该模型可以被利用来冒充目标，为欺诈和网络钓鱼提供便利，或制作宣传和虚假信息以支持恐怖主义。 ChatGPT拥有很强的生成代码的能力–甚至是恶意代码，也可以通过降低创建恶意软件所需的技术能力来增加网络犯罪的风险。”对于没有什么技术知识的潜在罪犯来说，这是一个宝贵的资源。同时，一个更高级的用户可以利用这些改进的能力来进一步完善甚至自动化复杂的网络犯罪手法，”该报告说。 大型语言模型（LLMs）并不复杂，仍处于起步阶段，但随着科技公司投入资源开发该技术，它们正在迅速改善。OpenAI已经发布了GPT-4，一个更强大的系统，而且这些模型正被越来越多地整合到产品中。自ChatGPT发布以来，微软和Google都在其搜索引擎中推出了AI驱动的网络搜索聊天机器人。 欧洲刑警组织表示，随着越来越多的公司推出人工智能功能和服务，这将为利用该技术进行非法活动开辟新途径。执法组织的报告建议：”多模态人工智能系统，将对话式聊天机器人与能够产生合成媒体的系统结合起来，如高度令人信服的深度伪造，或包括感官能力，如视觉和听觉。” 例如，秘密版本的语言模型没有内容过滤器，并在有害数据上进行训练，可以在暗网上托管。 “最后，关于LLM服务在未来如何处理用户数据存在不确定性–对话是否会被存储，并可能将敏感的个人信息暴露给未经授权的第三方？如果用户产生了有害的内容，是否应该向执法当局报告？”欧洲刑警组织问道。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7215537217194852924/ 封面来源于网络，如有侵权请联系删除  

Dark Reading 网站披露， 3 月 3 日- 3 月 9 日，每天至少有 2000 人从 Google Play 应用商店下载”快速访问 ChatGPT“ 的 Chrome 恶意扩展。据悉，一名威胁攻击者可能利用该恶意扩展泄露包括商业账户在内的数千个 Facebook 账户。 从 Guardio 的分析结果来看，恶意 “快速访问 Chat GPT “的扩展程序承诺用户可以快速与近期大火的人工智能聊天机器人 Chat GPT 进行互动。然而事实上，该扩展程序偷偷地从浏览器中窃取所有授权活动会话的 cookies，并安装了一个后门，使恶意软件运营者能够轻松获得用户 Facebook 账户的超级管理员权限。 值得注意的是，”快速访问 Chat GPT “扩展程序仅仅是威胁攻击者利用 ChatGPT 大火来分发恶意软件和渗透系统的众多方式之一。 近几个月，随着 ChatGPT 持续火爆，以其主题的钓鱼电子邮件急剧增加，越来越多的攻击者使用假冒的 ChatGPT 应用程序传播 Windows 和 Android 恶意软件。 以 Facebook 商业账户为目标的 “僵尸军团” “快速访问 Chat GPT “的扩展程序实际上是通过连接聊天机器人的 API 实现了对 ChatGPT 的快速访问，但在访问过程中，该扩展还收集了用户浏览器中存储的包括谷歌、Twitter 和 YouTube 以及任何其它活动在内的所有 cookie 列表。 如果某个用户在 Facebook 上有一个活动、经过验证的会话，则恶意扩展插件为开发人员访问 Meta 的 Graph API。API 访问使扩展能够获取与用户 Facebook 帐户相关的所有数据，甚至可以代表用户采取各种行动。 更不幸的是，恶意扩展代码中的一个组件允许劫持用户的 Facebook 帐户，其方法是在用户帐户上注册一个恶意应用程序，并获得 Facebook 的批准。对此 Guardio 表示，Facebook 生态系统下的应用程序通常是一个 SaaS 服务，它被批准使用其特殊的 API。因此，通过在用户帐户中注册应用程序，威胁攻击者可以在受害者的 Facebook 帐户上获得完全管理模式，而无需获取密码或尝试绕过 Facebook 的双重身份验证。 如果恶意扩展遇到了一个 商业 Facebook 帐户，它会快速获取与该帐户相关的所有信息，包括当前活动的促销活动、信用余额、货币、最低计费阈值等。 一个有经济动机的网络罪犯 在 Facebook 通过其 Meta Graph API 授予访问权之前，首先必须确认该请求是来自一个经过认证的可信用户，为了规避这一预防措施，威胁者在恶意的浏览器扩展中加入了代码，确保从受害者的浏览器向Facebook 网站发出的所有请求都被修改了标题，以便它们看起来也是可信的，这使得该扩展能够使用受感染的浏览器自由地浏览任何 Facebook 页面（包括进行 API 调用和操作），而不留下任何痕迹。 最后，Guardio 评估后表示，威胁行为者可能会将其从活动中收获的信息卖给出价最高的人，该公司还预计攻击者有可能创建一个被劫持的 Facebook商业账户的机器人大军，利用受害者账户的钱来发布恶意广告。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360243.html 封面来源于网络，如有侵权请联系删除