【網安新缺口？】ChatGPT漏洞被濫用　降低網絡犯罪門檻

由 OpenAI 開發的人工智能聊天程式 ChatGPT 掀起一股熱潮，許多人爭相用來編寫程式、翻譯文字、談天說地，試驗最新 AI 技術的極限。不過，有網絡安全專家發現，黑客及攻擊者亦同樣地利用 AI 助手作不法用途，變相降低網絡犯罪的門檻，增加網絡威脅。

ChatGPT 具備生成文本的能力，儘管自身擁有使用規則，系統會避開部分不當內容，但始終並非完美。Check Point 的首席訊息安全官 Pete Nicoletti 表示，在 Reddit 上出現了一個名為 DAN 的漏洞被嘗試濫用，DAN 的意思是「Do anything now」。它會透過聊天提示來操縱 ChatGPT 生成文本，從而避開 OpenAI 為防止其生成具惡意的文本（如仇恨言論）所設置的保護。

如是者，或會出現強化的網絡釣魚攻擊。因為網絡攻擊者擁有攻擊對象的銀行數據等資料，可以透過 ChatGPT 高效及輕鬆地設計出更具體及具有說服力的對話，使之與每個受害者有關，幾可亂真，令人更難分辨真偽。這類型攻擊針對個人之餘，也能成為具針對性的大規模攻勢。

另一方面，在寫 Code 能力上，儘管以太坊共同創辦人 Vitalik Buterin 曾指出，ChatGPT 編寫程式時犯下不少錯誤，暫只可用來當程式助手，再依賴具相關知識的人類修正，到目前為此並未能取代軟體工程師。不過，黑客也能利用 ChatGPT 充當 AI 助手，更有效率地生成惡意代碼，AI 亦可中學習並產出更精良的網絡攻擊指令，令網絡攻擊門檻降低、攻擊的頻率上升。

據早前 Check Point Research 的報告，發現有俄羅斯人企圖突破 ChatGPT 的地域限制，Nicoletti 未有透露 Check Point Research 以何種監測系統偵測到，只解釋 ChatGPT 是以應用程式的編程接口（API）阻止來自俄羅斯的進入請求。

Nicoletti 亦指出俄羅斯人對代碼的探測，僅屬眾多企圖獲得訪問權組織的其中一個，認為無論「好人」或「壞人」都想利用 ChatGPT，稱現並不確定 ChatGPT 是否已出現任何零日攻擊。

ChatGPT 所遭遇的情況，與導致 2017 年 EternalBlue 威脅的情形並不一樣，Nicoletti 指出 ChatGPT 與其他 AI 模型相似，「是一個對大眾開放、容許不同人使用的平台」，而當年 EternalBlue 的威脅則是實驗室代碼洩露所造成的。

資料來源：https://www.zdnet.com/article/russian-hackers-are-trying-to-break-into-chatgpt-says-check-point/

相關文章：【ChatGPT懶人包】史上用戶最快破億　用Poe試玩3日三大心得分享