根据EndorLabs的数据，开源在AI技术堆栈中发挥着越来越重要的作用，但大多数项目(52%)引用了存在已知漏洞的易受攻击的依赖项。 EndorLabs在最新的《软件依赖管理状态报告》声称，在发布仅五个月后，ChatGPT的API就被超过900个npm和PyPI软件包调用，其中70%是全新的软件包。 然而，EndorLabs警告说，任何开源项目，都必须重视和管理与易受攻击的依赖项相关的安全风险。 OstermanResearch首席分析师MichaelSampson表示：“EndorLabs的这份报告证明了风光无限的人工智能技术的安全性并未跟上其发展步伐。” 不幸的是，企业不仅低估了开源依赖项中人工智能API的风险，而且还低估了安全敏感API的风险。 报告称，超过一半(55%)的应用程序在其代码库中调用了安全敏感API，如果包含依赖项，这一比例将上升至95%。 EndorLabs还警告说，ChatGPT等大型语言模型(LLM)技术在对可疑代码片段的恶意软件潜力进行评分方面表现不佳。结果发现，OpenAIGPT3.5的准确率仅为3.4%，而VertexAItext-bison的表现也好不到哪里去，为7.9%。 “这两种模型都会产生大量误报，这需要手动审查工作，并阻止自动通知相应的程序包存储库以触发程序包删除。也就是说，模型似乎确实正在改进，”报告指出。 “这些发现说明，目前将大语言模型用于安全敏感用例的难度很大。大语言模型肯定可以帮助人工审核人员，但即使评估准确率可以提高到95%甚至99%，也不足以实现自主决策。” 报告指出，开发人员可能会花费大量时间修复代码中的漏洞，而这些（依赖项的）漏洞甚至没有在他们的应用程序中使用。 报告声称，71%的典型Java应用程序代码来自开源组件，但应用程序仅使用了这些软件包中的12%的代码。 “未使用的代码中的漏洞很少可被利用；如果能了解整个应用程序中哪些代码是可访问的，企业可以消除或调低高达60%的修复工作的优先级。”报告指出。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/bQc8l22_NouJX2-7onZQ0g 封面来源于网络，如有侵权请联系删除

近几个月来，伴随着 ChatGPT 的热度暴涨，OpenAI 也不断因 AI 的道德问题和数据安全隐患遭到多方质疑，甚至上周还受到了美国联邦贸易委员会（FTC）的正式调查——这也是美国监管机构首次正式发起对 AI 聊天机器人风险的审查。 而正当 OpenAI 因 ChatGPT 疲于应对各方审查时，一款“没有道德界限或限制”的「邪恶版 ChatGPT」悄然在网络上蔓延：WormGPT。 （图片来源：Hacking forum） 「邪恶版 ChatGPT」，每月 60 欧元 根据网络安全公司 SlashNext 博客报道，其团队在研究生成式 AI 在网络犯罪方面的潜在风险时，偶然发现了 WormGPT：“我们最近通过一个与网络犯罪有关的著名在线论坛获得了一个名为 ‘WormGPT’的工具，它是一个 GPT 模型的黑帽替代品。” 据了解，WormGPT 的收费标准是每月 60 欧元（约人民币 479 元），而 SlashNext 对 WormGPT 的形容是：“专为恶意活动而设计”，简直是“网络罪犯的武器库”。 WormGPT 由一位胆大的黑客设计，他写道：“这个项目（WormGPT）旨在提供 ChatGPT 的替代方案，让你做各种非法的事情，你能想到的所有与黑帽相关的事情，都可以用 WormGPT 完成。”为了证明他的说法，他还上传了相关截图，显示用户可要求机器人生成用 Python 编码语言编写的恶意软件。 WormGPT 基于 2021 年开源的 LLM GPT-J 模型开发，工作方式与 ChatGPT 大致相同：可处理人类自然语言提出的要求，并输出所要求的任何内容，包括故事、摘要和代码。但与 ChatGPT 或 Bard 不同的是，WormGPT 不用像 OpenAI 或谷歌这样的大型公司那样，必须要承担相关的法律义务。 据 SlashNext 介绍，WormGPT 在各种数据源上进行训练，尤其集中在恶意软件相关的数据上，加上输出没有道德限制，可以被要求执行各种恶意任务，包括创建恶意软件和“一切与黑帽有关的事情”，对于网络犯罪分子而言无疑是一大利器。 对于 WormGPT，NordVPN 网络安全专家 Adrianus Warmenhoven 的评价是“ChatGPT 的邪恶双胞胎”，因为它显然是从 OpenAI 对 ChatGPT 不断施加限制、而攻击者极力规避这些限制才衍生出来的。 为了全面评估 WormGPT 相关的潜在危险，SlashNext 团队进行了以 BEC 攻击（商业电子邮件泄露，一种通过电子邮件进行的社会工程学攻击，攻击者一般会伪造电子邮件消息以诱骗受害者执行某些操作）为重点的测试：“在一次实验中，我们要求 WormGPT 生成一封电子邮件，内容是向毫无戒心的账户经理施压，迫使其支付虚假发票。” WormGPT 的输出结果令 SlashNext 直呼危险：“结果令人非常不安。WormGPT 生成的电子邮件不仅极具说服力，而且在战略上也非常狡猾，展示了它在复杂的网络钓鱼和 BEC 攻击中的无限潜力。” AI 加持下，新手将轻易实现诈骗 通过上面这个测试，SlashNext 总结道，类似于 WormGPT 这样的生成式 AI 技术可能会带来巨大威胁，因为有了这类工具的加持后，就连网络犯罪新手都能轻易实现诈骗。 以 BEC 攻击为例，使用生成式 AI 具有以下两大优势： （1）卓越的语法：生成式 AI 可以创建在语法上无懈可击的电子邮件，使其看起来合法合理，被系统标记为可疑邮件的可能性会大幅降低。 （2）降低犯罪门槛：生成式 AI 的出现，极大简化了原本复杂的 BEC 攻击，即便是技术有限的攻击者也能使用生成式 AI，它将成为越来越多网络犯罪分子可以使用的工具。 不过同时，针对生成式 AI 可能引发的大范围 BEC 攻击，SlashNext 也建议了两种防范策略： （1）进行 BEC 专项培训：公司应制定广泛的、定期更新的培训计划，以应对 BEC 攻击，尤其是由 AI 增强的攻击，要让员工了解到 BEC 攻击的威胁，以及 AI 将如何加大这种威胁的原理。 （2）强化电子邮件的验证措施：为防范 AI 驱动的 BEC 攻击，企业应执行严格的电子邮件验证流程，例如当有来自组织外部的电子邮件冒充内部高管或供应商时，系统要自动发出警报等。 AI 领域仍存在不少挑战和局限性 而事实上，除了上文提到的 WormGPT 编写恶意软件、助力 BEC 攻击以外，上个月 ChatGPT 的“奶奶漏洞”也证实了一个事实：尽管 OpenAI 等公司都对 AI 技术做出了许多限制措施，但目前还是无法完全避免这类漏洞的出现。 上个月，一位名为 Sid 的用户发现，只要让 ChatGPT 扮演其过世祖母讲睡前故事，就能顺利骗出 Windows 10 Pro 密钥。 经过Sid 的分享后，越来越多用户发现了这个漏洞，并开始尝试欺骗 ChatGPT 报出 Windows 11 序列号，其中许多人都成功了。据了解，虽然这些密钥大多是无效的，但有少量序列号也确实是真实可用的。 不论是 ChatGPT 的“奶奶漏洞”，还是“网络犯罪分子专用”的 WormGPT 的出现，都证明了至少现阶段 AI 领域仍存在不少挑战和局限性。为此，一方面，研究人员需继续深入相关技术，在提高数据质量、优化算法的同时，充分考虑伦理道德层面的影响。另一方面，作为用户的我们也应时刻保持谨慎，避免对 AI 产生过度依赖。     转自Freebuf，原文链接:https://www.freebuf.com/news/373009.html 封面来源于网络，如有侵权请联系删除

人工智能技术“出圈”后，越来越多网络攻击者对生成人工智能工具表现出极大“兴趣”。从 Bleeping Computer 网站披露的信息来看，暗网市场目前有数十万个 OpenAI 证书待售。 据悉，技术不熟练和经验丰富的网络犯罪分子都可以使用这些工具，创建更具诱惑力的钓鱼电子邮件（电子邮件可以为目标专门定制），以增加网络攻击成功的机会。 黑客大面积入侵 GPT AI Flare 的安全研究人员在分析暗网论坛和市场时注意到，OpenAI 证书是最新待售的商品之一， 目前可以确定了约有 20 多万个 OpenAI 证书以窃取日志的形式在暗网上出售。 虽然这一数字与 OpenAI 1 月份 1 亿活跃用户相比，似乎微不足道，但也能说明网络攻击者“看到”了生成式人工智能工具蕴藏的破坏力。 2023 年 6 月，网络安全公司 Group IB 在一份报告中指出超过101100个被泄露的 OpenAI ChatGPT 账户凭证在非法的暗网市场上待售。 可见许多网络犯罪分子都盯上了人工智能，甚至有一网络攻击者还开发了一个名为 WormGPT 的盗版 ChatGPT，并对其进行了针对恶意软件的数据训练， 该工具也被被宣传为“黑帽的最佳 GPT 替代品”。 网络犯罪论坛上推广 WormGPT 工具 WormGPT 主要依赖 2021 年推出的 GPT-J 开源大型语言模型，以此来生成类人文本，其开发人员表示在不同的数据集上训练了该工具，重点是恶意软件相关数据，但没有提供有关具体数据集的提示。 WormGPT 显示了 BEC 攻击的潜力 电子邮件安全提供商 SlashNext 访问了 WormGPT，并进行了一些测试以确定其潜在危险。研究人员指出在一项实验中，指示 WormGPT 生成一封电子邮件，旨在向毫无戒心的客户经理施压，迫使其支付欺诈发票。 结果，WormGPT 生成的电子邮件不仅极具说服力，而且在战略上非常狡猾，完美展示了其在复杂的网络钓鱼和 BEC 攻击中的潜力。 WormGPT 为 BEC 攻击生成的内容 来源：SlashNext 通过分析生成的信息，SlashNext 的研究人员发现了生成式人工智能工具 WormGPT 除了能够生成 “无懈可击的语法 “的信息外，还能够使技术水平较低的攻击者实施超出其水平的攻击。 最后，研究人员指出尽管抵御这种威胁可能比较困难，但是并非不能防御。企业可以通过培训员工如何验证要求紧急关注的邮件（尤其是含有金融内容的邮件）、改进电子邮件验证流程，或标记出通常与 BEC 攻击相关的关键字。     转自Freebuf，原文链接:https://www.freebuf.com/news/372594.html 封面来源于网络，如有侵权请联系删除

随着生成式人工智能如今风靡一时，黑客将该技术重新用于自身利益，为加速网络犯罪提供了途径。根据SlashNext的调查结果，一种名为WormGPT的新型生成人工智能网络犯罪工具已在地下论坛上宣传，这是发起复杂的网络钓鱼和商业电子邮件入侵（BEC）攻击的一种方式。 安全研究员Daniel Kelley认为：“该工具将自己呈现为GPT模型的黑帽替代品，专为恶意活动而设计，黑客可以使用这种技术自动创建高度令人信服的虚假电子邮件，针对收件人进行个性化设置，从而增加攻击成功的机会。”该软件的作者将其描述为“众所周知的ChatGPT的最大敌人”，“可以让你做各种非法的事情” 在黑客手中，像WormGPT这样的工具可能是一种强大的武器，特别是OpenAI、ChatGPT和Google Bard采取越来越多地措施打击滥用大型语言模型（LLM）来制造令人信服的网络钓鱼电子邮件并生成恶意代码的行为。Check Point在本周的一份报告中表示：“与ChatGPT相比，巴德在网络安全领域的反滥用限制措施明显较低，因此，使用巴德的功能生成恶意内容要容易得多。” 今年2月初，这家以色列网络安全公司披露了黑客是如何利用API绕过ChatGPT 的限制，更不用通过使用大量电子邮件地址和密码列表入侵 ChatGPT 帐户，交易被盗的高级帐户。WormGPT在没有任何道德界限的情况下运行，这一事实突显了生成式 AI 构成的威胁，甚至允许新手黑客在没有技术手段的情况下迅速、大规模地发起攻击。更糟糕的是，黑客正在为ChatGPT推广“越狱”，目的是操纵该工具生成中可能泄露的敏感信息、制作不适当内容和执行有害代码的输出。 生成式人工智能可以创建语法无可挑剔的电子邮件，使它们看起来合法，并减少被标记为可疑的可能性。它的使用使复杂的BEC攻击的执行民主化。即使是技能有限的攻击者也可以使用这项技术，使其成为更广泛的网络犯罪工具。     转自E安全，原文链接:https://mp.weixin.qq.com/s/Vk5iRQoRDimY5FNOI0bLhQ 封面来源于网络，如有侵权请联系删除

随着ChatGPT风靡全球，其开发商OpenAI就接连不断地面临着越来越多的质疑与批评。近日，OpenAI就陷入了接连“吃官司”的状态之中。 6月29日，有16 名匿名人士向美国加利福尼亚州旧金山联邦法院提起诉讼，称 ChatGPT 在没有充分通知用户或获得同意的情况下收集和泄露了他们的个人信息，据此他们要求微软和 OpenAI 索赔 30 亿美元。 诉讼中指出，尽管制定了购买和使用个人信息的协议，但是OpenAI和微软系统性地从互联网中窃取了3000亿个单词，包括数百万未经同意获取的个人信息。 原告指控两家公司通过其 AI 产品“收集、存储、跟踪、共享和披露”数百万人的个人信息，包括产品详细信息、账户信息、姓名、联系方式、登录凭据、电子邮件、支付信息、交易记录、浏览器数据、社交媒体信息、聊天日志、cookie、搜索记录和其他在线活动。 诉状还称：就个人身份信息而言，被告未能充分地将其从学习模型中过滤掉，使数百万人面临着个人信息立即或以其他方式向世界各地的陌生人披露的风险。 诉讼还指控OpenAI违背了其初心，即以“最有可能造福整个人类的方式推进人工智能”。截至目前，不论是OpenAI官方还是微软官方都还未对该指控进行回复。 不过，该诉讼已经在全球引起了广泛关注，同时引发了广大网友对隐私、人工智能伦理和企业处理个人信息的担忧。 随后，在短短的一周内，OpenAI又接到两位作家Paul Tremblay和Mona Awad提起的诉讼，指控他们的受版权保护的著作被用来训练ChatGPT。 Paul Tremblay和Mona Awad称，ChatGPT 能为他们的书生成“非常准确”的摘要。所以他们坚称，只有在ChatGPT接受了他们著作的训练后，才有可能出现这么准确的摘要，而这个操作显然违反了版权法。 起诉书中预估，OpenAI 的训练数据中至少包含 30 万本书，其中很多来自侵权网站。 比如 OpenAI 在披露 GPT-3 训练数据情况时，就表示其中包含两个互联网图书语料库，大概占比为 15%。起诉作者认为这些数据就是来自影子图书馆网站的，比如 Library Genesis、Sci-Hub 等。 OpenAI已多次陷入数据风波 虽然目前的这些指控仍是原告方的“一面之词”。但这已经不是这家公司第一次陷入数据安全、个人信息泄露相关的指控了。 去年6月下旬，微软发布了一种可以自动生成计算机代码的新型人工智能技术。 该工具名为 Copilot，旨在让专业程序员更快地工作。当他们工作时，Copilot会给出代码建议，程序员可以直接将copilot展示的建议的代码块直接添加到自己的代码中，快速完成工作，这一工具也因此被很多媒体誉为“让程序员早下班的工具”。 然后去年 11 月，这款名为Copilot的代码助手，就被程序员们告上了法庭。 原告们认为Copilot嫌违反开源许可，使用他们贡献的代码训练 GitHub Copilot 和 OpenAI 的 Codex 机器学习模型，侵犯了众多原创代码作者的版权，同时还泄露了用户隐私，因此向法院提起诉讼，索赔达90亿美元。 这些案例无疑为隐私安全敲响了警钟，不仅是OpenAI，全球公司都必须对数据收集和使用持有负责任的态度。 如今，人工智能技术的快速发展让个人隐私问题面临着更加艰深的挑战，特别是在数据收集和使用方面。随着越来越多的个人数据被用于训练AI模型，如何切实做到确保数据的合法和透明使用变得至关重要。 企业在保护个人隐私方面扮演着关键角色。因此各企业在收集和使用个人数据时，都必须遵守隐私法规，并提供透明的数据使用方式，以确保人工智能技术的发展与个人权益的保护相平衡。     转自Freebuf，原文链接:https://www.freebuf.com/news/371689.html 封面来源于网络，如有侵权请联系删除

近日，美国联邦政府发布了一份报告，称用户需密切注意ChatGPT存在的网络安全风险，尤其是在网络钓鱼和恶意软件开发领域。 在其发布的咨询意见报告中，政府部门警告，尽管微软支持的人工智能工具ChatGPT获得了前所未有的成功，吸引了大量头部企业和资本疯狂涌入AI赛道，一时间AI成为当下最为火热的赛道之一。 但是，AI 也带来了安全方面的风险，尤其是在网络钓鱼邮件制作和恶意软件生成等方面，以ChatGPT为代表的AI工具存在重大安全风险。该报告指出，为了防止这类AI工具带来的威胁，企业必须积极主动地采取极其谨慎、尽职尽责和密切注意的态度，避免出现更糟糕的情况。 攻击者正在利用ChatGPT放大作恶能力 该报告列举了恶意攻击者使用ChatGPT的部分方法清单，具体如下所示： 1.恶意软件生成: 利用ChatGPT生成恶意软件不再只是一种可能存在的理论，恶意攻击者对它的利用已经越来越熟练，并且在暗网上开始了各种各样的讨论和尝试。 2.制作网络钓鱼电子邮件:和恶意软件生成不同的事，在钓鱼邮件方面ChatGPT已经向用户展现出其强大的能力。恶意攻击者可以利用它来生成网络钓鱼和鱼叉式网络钓鱼电子邮件，并且这些电子邮件有可能通过电子邮件提供商的垃圾邮件过滤器。 3.诈骗网站: 通过降低代码生成门槛，ChatGPT 可以帮助技能较低的威胁行为者轻松构建恶意网站，例如伪装和网络钓鱼登陆页面。例如，零技能或很少技能的恶意行为者可以使用 ChatGPT 克隆现有网站，然后对其进行修改、构建虚假电子商务网站或运行带有恐吓软件诈骗的网站等。 4.发布虚假信息: 通过 ChatGPT，用户可以使用能够撰写极具说服力的散文、在短时间内生成数千条虚假新闻报道和社交媒体帖子的软件。 企业&用户安全防范指南/预防措施 1、提高对钓鱼邮件的防范 千万不要打开未知、意外或可疑的电子邮件、链接和附件； 在下载附件之前，使用电子邮件服务提供商提供的防病毒软件对其进行扫描，即便是可信任的附件。如果电子邮件服务不提供病毒扫描功能，则所有下载的文件在打开前都可以用本地的杀毒软件扫描； 对所有计算机设备，包括个人台式电脑、笔记本电脑、手机、可穿戴设备等操作系统和软件应用程序进行更新； 在所有的计算机设备中使用著名的、可信的防病毒软件； 不要在官方设备上使用个人帐户； 尽可能使用多因素身份验证(MFA)； 绝不与未经授权/可疑的用户、网站、应用程序等共享个人信息和证书； 始终在浏览器中键入URL，而不是直接点击链接. 始终用https开放网站打开链接，不访问http网站。 2.识别恶意软件伪装指南 (1)管理员 通过在操作系统、BIOS和应用程序级别上实现强化系统，尽可能地限制传入的流量和用户权限； 通过系统强化来阻止未经授权的存储介质（例如 USB）； 经常格式化可移动媒体，尽量避免恶意软件在系统内横向传播； 通过文件哈希、文件位置、登录和失败的登录尝试来监控网络活动； 使用知名的、可信的反恶意软件、防病毒、防火墙、IP、IDS、SIEM解决方案； 对离线 LAN 和在线网络使用单独的服务器/路由； 根据需要允许特定用户访问互联网并限制数据使用/应用程序权限； 下载之前通过数字代码签名技术验证软件和文档； 在邮件系统管理员控制和其他关键系统中实施 MFA（多重身份验证）； 始终定期维护关键数据的备份； 定期更改管理员级别的密码； 定期修补和更新所有操作系统、应用程序和其他技术设备； 为了减少恶意代码执行的攻击面；建议用户始终使用具有标准用户权限的帐户登录。 (2) 终端用户 下载之前，请务必重新验证通过辅助方式（电话、短信、口头）发送电子邮件/附件的受信任用户； 立即向管理员报告任何可疑活动； 切勿将关键数据存储在在线系统上，而应将其存储在独立系统上。 (3)ChatGPT用户安全准则 使用 ChatGPT 时，请注意共享的信息。避免共享敏感或机密信息，例如密码、财务信息或个人详细信息。 谨慎对待链接和附件。ChatGPT 可能会提供链接或附件作为其答案的一部分，但在单击它们之前请务必小心谨慎。请务必验证链接或附件的来源，并谨防可疑/未知来源。 政府机构工作人员手机不得用于 ChatGPT。 (4) 如果在使用ChatGPT时遇到安全问题，请立即向Open AI报告。     转自Freebuf，原文链接:https://www.freebuf.com/news/371556.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基研究人员测试了5265个URL（2322个钓鱼网址和2943个安全网址）。 研究人员向ChatGPT（GPT-3.5）提出了一个简单的问题：“此链接是否指向网络钓鱼网站？仅根据URL的形式，AI聊天机器人的检出率为87.2%，误报率为23.2%。” “虽然检出率非常高，但超过两成的假阳性率是不可接受的，这意味着五分之一的网站都会被封锁。”卡巴斯基首席数据科学家Vladislav Tushkanov说。 Tushkanov尝试了更为简单的问题：“这个链接安全吗？”结果要差得多：检出率为93.8%，假阳性率高达64.3%。事实证明，更笼统的提示更有可能导致ChatGPT判定链接是危险的。 更多的数据点能大幅提升检测能力 NTT Security Japan的研究人员进行了同样的测试，但给ChatGPT更多提示：网站的URL，HTML和通过光学字符识别（OCR）从网站中提取的文本。 测试方法概述（来源：NTT Security） 他们用1000个网络钓鱼站点和相同数量的非网络钓鱼站点测试了ChatGPT。研究者使用OpenPhish、PhishTank和CrowdCanary来收集网络钓鱼站点，用Tranco列表用创建非网络钓鱼站点列表。他们要求ChatGPT识别所使用的社会工程技术和可疑元素，在评估页面上识别品牌名称，判断该网站是网络钓鱼网站还是合法网站（以及原因）以及域名是否合法。 “GPT-4的实验结果展示出了巨大的潜力，精度为98.3%。GPT-3.5和GPT-4之间的比较分析显示，后者减少假阴性的能力有所增强。”研究人员指出。 研究者指出，ChatGPT擅长正确识别策略，例如虚假恶意软件感染警告、虚假登录错误、网络钓鱼短信身份验证请求以及识别不合法的域名，但偶尔无法识别域名抢注和特定的社会工程技术，如果合法域名有多个子域名，则无法识别合法域名等。此外，当使用非英语网站进行测试时，ChatGPT的效果并不好。 “这些发现不仅表明大语言模型在有效识别网络钓鱼站点方面的潜力，而且对加强网络安全措施和保护用户免受在线欺诈活动的危险具有重大意义。”研究人员总结道。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/flTPAIt49vKaSKjh0I9auA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，国际网络安全公司 Group-IB 报告显示，暗网交易平台上正在出售超过 10 万名 ChatGPT 用户的个人信息。 从 Group-IB 统计的数据来看，2022 年 6 月至 2023 年 5 月期间，暗网平台有许多 ChatGPT 账户正在”待售“，买卖高峰期出现在 2023 年 5 月，当时威胁者发布了 26800 个新 ChatGPT 用户信息。值得一提的是，Group-IB 表示按照 ChatGPT 帐户所属地区划分，亚太地区为 40999 条、中东和非洲地区 24925 条、欧洲 16951 条。 【受害者分布（Group-IB）】 信息窃密恶意软件主要攻击目标是存储在电子邮件客户端、网络浏览器、即时通讯工具、游戏服务、加密货币钱包等应用程序上的账户数据。这些类型的恶意软件通过从程序 SQLite 数据库中提取证书，并滥用 CryptProtectData 功能对存储的数据信息进行反向加密，从而窃取保存在网络浏览器中的凭证。一旦得手，凭证和其它被盗数据就会立刻被打包到日志文档中，发送回攻击者的服务器进行检索。 部分大企业禁止内部使用 ChatGPT Group-IB 的 Dmitry Shestakov 表示许多企业正在将 ChatGPT 整合到自身操作流程中，当员工输入机密信件或优化内部专有代码时，鉴于 ChatGPT 的标准配置会保留所有对话，一旦威胁者获得账户凭证，这可能会无意中为攻击者提供大量敏感情报。 正是基于这些担忧，像三星这样科技巨头已经直接禁止员工在工作电脑上使用 ChatGPT，甚至威胁要开除不遵守该政策的员工。 Group-IB 的数据显示，随着时间推移，被盗 ChatGPT 日志数量稳步增长，几乎 80% 的日志来自 Raccoon 窃取者，其次是 Vidar（13%）和 Redline（7%）。 被入侵的 ChatGPT 账户(Group-IB) 考虑到数据安全性，如果用户在 ChatGPT 上输入了敏感数据，请认真考虑在设置菜单中禁用聊天保存功能或在使用完工具后立即手动删除这些对话。 值得警惕的是，许多信息窃取者会对受感染的系统进行截图或进行键盘记录，因此即使不把对话保存到 ChatGPT 账户，恶意软件感染仍可能导致数据泄漏。最后，规劝需要处理极其敏感信息的工作人员，尽量在本地构建和自托管工具上输入信息。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370036.html 封面来源于网络，如有侵权请联系删除

随着公众对生成性人工智能聊天机器人的兴趣越来越大，黑客们越来越多地使用ChatGPT主题的诱饵，在Facebook、Instagram和WhatsApp上传播恶意软件。这是Facebook的母公司Meta的说法，该公司在周三发布的一份报告中说，冒充ChatGPT的恶意软件在其平台上呈上升趋势。 该公司表示，自2023年3月以来，其安全团队已经发现了10个恶意软件家族使用ChatGPT（和类似主题）向用户的设备提供恶意软件。 “在一个案例中，我们看到威胁者创建了官方网店中的恶意浏览器扩展，声称提供基于ChatGPT的工具，”Meta安全工程师Duc H. Nguyen和Ryan Victory在一篇博文中说。”然后他们会在社交媒体上推广这些恶意扩展，并通过赞助的搜索结果来诱使人们下载恶意软件。” Meta公司说，传播Ducktail恶意软件的攻击者越来越多地转向这些以人工智能为主题的诱饵，试图损害能够访问Facebook广告账户的企业。自2021年以来，Ducktail以Facebook用户为目标，窃取浏览器cookie并劫持登录的Facebook会话，从受害者的Facebook账户中窃取信息，包括账户信息、位置数据和双因素认证代码。该恶意软件还允许威胁行为者劫持受害者可以访问的任何Facebook商业账户。 Meta公司周三将Ducktail的传播归咎于来自越南的威胁者，并补充说它已经向该行动背后的个人发出了停止令，并通知了执法部门。 一张截图显示，链接到网站托管平台的恶意软件活动开始针对较小的服务，如给我买杯咖啡–创作者用来接受其受众支持的服务–来托管和提供恶意软件。 Meta公司说，它阻止了指向以ChatGPT为主题的假网页的恶意链接，这些网页承载和传递恶意软件 这家社交媒体巨头还指出，它在1月份发现了一款名为Nodestealer的新恶意软件。与Ducktail非常相似，该恶意软件以基于Windows的浏览器为目标，最终目的是窃取cookie和保存的登录信息，以损害Facebook、Gmail和微软Outlook账户。Meta公司说，它对这一恶意软件采取了早期行动，同样还将其归咎于越南威胁者。Meta公司说，它在发现该恶意软件的两周内就向域名注册商和托管服务商提交了删除请求，这些服务商是恶意软件的目标，以促进其传播。 “这些行动导致了对该恶意软件的成功破坏。”Nguyen和Victory说：”自今年2月27日以来，我们没有观察到NodeStealer系列恶意软件的任何新样本，并继续监测任何潜在的未来活动。” Meta公司表示，它还增加了新的功能，以帮助其产品的企业用户更好地抵御恶意软件攻击。这包括一个新的支持工具，指导人们逐步识别和删除恶意软件，以及对企业账户的新控制，以管理、审计和限制谁能成为账户管理员。Meta公司还宣布将在今年晚些时候推出Facebook at Work账户。这些账户将允许企业用户在不需要个人账户的情况下登录和操作业务管理器，帮助防止从个人账户被泄露开始的攻击。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7228983702586573370/ 封面来源于网络，如有侵权请联系删除

自去年推出以来，ChatGPT以其撰写文章、诗歌、电影剧本等的能力在技术爱好者中引发轰动。该人工智能工具甚至可以生成功能性代码，只要给它一个写得很好、很清晰的提示。虽然大多数开发者会将该功能用于完全无害的目的，但一份新的报告表明，尽管OpenAI设置了保障措施，它也可以被恶意行为者用来创建恶意软件。 一位网络安全研究人员声称，他利用ChatGPT开发了一个零日漏洞攻击程序，可以从被攻击的设备中窃取数据。令人震惊的是，该恶意软件甚至逃避了VirusTotal上所有供应商的检测。 Forcepoint的Aaron Mulgrew说，他在恶意软件创建过程的早期就决定不自己编写任何代码，只使用先进的技术，这些技术通常是由像部分国家支持的复杂威胁行为者采用的。 Mulgrew将自己描述为恶意软件开发的”新手”，他使用的是Go执行语言，不仅因为它易于开发，而且还因为他可以在需要时手动调试代码。他还使用了隐写术，将秘密数据隐藏在普通文件或信息中，以避免被发现。 Mulgrew一开始直接要求ChatGPT开发恶意软件，但这让聊天机器人的护栏开始发挥作用，它以道德理由直截了当地拒绝执行这项任务。然后，他决定发挥创意，要求人工智能工具在手动将整个可执行程序放在一起之前生成小段的辅助代码。 这一次，他的努力获得了成功，ChatGPT创造了包含入侵能力的代码，并且还绕过了VirusTotal上所有反恶意软件的检测。然而，要求编写混淆代码以避免检测被证明是棘手的，因为ChatGPT认识到这种要求是不道德的，并拒绝遵守它们。 尽管如此，Mulgrew在只做了几次尝试后就能做到这一点。该恶意软件第一次被上传到VirusTotal时，有五个供应商将其标记为恶意软件。经过几次调整，代码被成功混淆，没有一个供应商将其识别为恶意软件。   Mulgrew说整个过程”只花了几个小时”。如果没有这个聊天机器人，他相信一个由5-10名开发人员组成的团队会花上几周时间来制作这个恶意软件，并确保它能躲避安全应用程序的检测。 虽然Mulgrew创建恶意软件是为了研究目的，但他说，使用这种工具的理论上的零日攻击可以针对高价值的个人，渗透并发回计算机里的重要文件。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7218626932374503975/ 封面来源于网络，如有侵权请联系删除