“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

这篇具有很好参考价值的文章主要介绍了“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一周以前,图灵奖得主 Yoshua Bengio、伯克利计算机科学教授 Stuart Russell、特斯拉 CEO 埃隆·马斯克、苹果联合创始人 Steve Wozniak 等在内的数千名 AI 学者、企业家联名发起一则公开信,建议全球 AI 实验室立即停止训练比 GPT-4 更强大的模型,为期六个月,缘由是「只有当我们确信强大的人工智能系统带来积极的效果,其风险是可控的,才应该开发」。

这样的呼吁虽有人反对,但也不无道理,ChatGPT、GPT-4 大模型与产品,覆盖聊天到问答、写文章、编程序等多维度,其带来利好的一面和展现出来的弊端究竟如何达成平衡?如果用 ChatGPT「作恶」,又会带来怎样的后果?

近日,一位名叫 Aaron Mulgrew 的研究人员做了一项实验,他以小白的视角,在完全没有编写任何代码的情况下,看看 ChatGPT 能否实现一个新的零日漏洞。

万万没想到的是,仅用一些提示词,ChatGPT 便创建了一个功能强大的数据挖掘恶意软件,还逃脱了 69 家检测恶意软件的机构测试。与此同时,Aaron Mulgrew 称,要想开发这样一款恶意软件,由 5-10 名人类组成的黑客团队恐需要数周时间,而 ChatGPT 只需要几个小时。


“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

ChatGPT 的安全机制如何?

早期在 ChatGPT、GPT-4 发布之际,OpenAI 曾多次声明自家在安全方面所做的努力,并称可以防止任何人试图要求 ChatGPT 编写恶意软件。

来自网络安全组织 Forcepoint 的 Aaron Mulgrew 便想要抱着测试「规避 ChatGPT 现有不足的安全防护有多么容易」和「在不编写任何代码且仅使用 ChatGPT 的情况下创建高级恶意软件是多么容易」两个目的,看看 ChatGPT 在安全方面的成效究竟如何。

为此,他决定自己不编写任何代码,只使用先进的技术,例如隐写术(steganography,把信息藏到‘载体’之中,使信息不让除预期的接收者之外的任何人知晓信息的传递事件或者信息的内容)。同时,Aaron Mulgrew 选择 Go 为执行语言,因为 Go 语言易于开发,并且需要调试问题时便于他手动检查代码。


用自然语言让 ChatGPT 生成恶意软件:它拒绝!

首先,Aaron Mulgrew 简洁明了地直接要求 ChatGPT 生成一个可量化的恶意软件。

也正如 OpenAI 在发布这项技术时承诺的那样,ChatGPT 反手便是拒绝,也告诉研究人员,生成恶意软件是不道德的,它无法提供任何代码来帮助实现这项工作。

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”


人类不写一行代码,ChatGPT 会被用来「作恶」吗?

直接套路走不通,Aaron Mulgrew 决定软磨硬泡试试。

在他的设想中,是先让 ChatGPT 生成一些小的辅助代码片段,然后手动将整个可执行文件放在一起,通过将这个可执行文件伪装成屏幕保护应用程序(SCR 扩展)直接在 Windows 上自动启动。然后,该软件将筛选文件(例如图像、Word 文档和 PDF)以窃取数据,并上传到 Google Drive 云端系统中。

那么,Aaron Mulgrew 是否会成功?

在测试中,Aaron Mulgrew 开始通过提示词让 ChatGPT 不断生成相关的代码。

首先,他让 ChatGPT 生成一些有关搜索本地磁盘上大于 5MB 的 PNG 文件的代码。之所以设定这样的筛选条件,Aaron Mulgrew 认为 5MB 的 PNG 足以存储高价值的商业敏感文档(如 PDF 或者 Docx 文档)的一些片段内容。

ChatGPT 成功提供了相关的代码:

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

紧接着,Aaron Mulgrew 又要求 ChatGPT 提供一些代码,即使用隐写术对找到的 PNG 进行编

码。让人有些诧异的是,ChatGPT 直接给出了一个建议——调用开源 Auyer

(https://github.com/auyer/steganography)现成的隐写库来实现这一功能。

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

        基于以上,Aaron Mulgrew 已经实现了在没有编写一行代码的情况下,几乎勾勒出一个用于测试的 MVP(最简单可行产品)。

        不过,这样一款程序还有些功能缺失,包括如何在设备上找到一些可以窃取的高价值文件、又要将窃取到的文件数据上传到哪里去。

        随后,Aaron Mulgrew 决定让 ChatGPT 提供一些代码,可以在用户的文档、桌面和 AppData 文件夹中进行遍历,并找到所有最大为 1MB 的 PDF 文件或 DOCX 文件,这样可以让整个文件嵌入到一个单一的图像中。

        同时,Aaron Mulgrew 也选择 Google Drive 作为数据泄露上传的平台。

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

        原本 Aaron Mulgrew 想手动组合各模块的代码,不过他发现,使用提示词合并代码段是最简单的部分,“我只需要向 ChatGPT 提交简单的代码片段,让它将其组合起来就行”,Aaron Mulgrew 说道。

        在有了 ChatGPT 提供的整体代码之后,Aaron Mulgrew 又发现所有值得窃取的高价值文件可能都大于 1MB,因此需要使用隐写术将其分为多个“块”进行无声地渗透,从而不引发任何警报。

        于是,Aaron Mulgrew 对 ChatGPT 进行四五次提示之后,得到了一些代码,可以实现将 PDF 文件拆分成多个 100 KB 的小块,并从设备上生成的 PNG 列表中生成相应的 PNG。

        最终得到了 MVP,也能通过隐写术解码工具成功地解码窃取到的图像:

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

69 家安全供应商进行了测试

        接下来,进入了颇为重要的一环。ChatGPT 生成的零日漏洞 MVP 已成型,那么它是否会绕过安全机构的检测,ChatGPT 生成的 EXE 文件是否会被安全供应商识别为恶意软件呢?

        为此,Aaron Mulgrew 将 MVP 上传到了老牌恶意软件分析服务 VirusTotal 等平台上。

        最终结果显示,在纯粹使用 ChatGPT 生成的整个代码库后,69 个供应商中有 5 家供应商将文件标记为恶意文件。

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

        这也算是不错的成果,为了进一步勘测 ChatGPT 生成的零日漏洞带来的效果。

        Aaron Mulgrew 再次用提示词对代码进行了优化,他要求 ChatGPT 重构调用 Auyer 隐写库的代码。因为他怀疑编译后的 EXE 文件中的某个 GUUID 或变量可能会提醒五家供应商将该文件标记为恶意软件。优化之后,检测出此 exe 为恶意软件的供应商数量下降到了 2 家。

        这两家供应商中,其中一家是领先的沙盒工具供应商,另一家擅长对可执行文件进行静态分析。

        考虑到这些因素,Aaron Mulgrew 进一步要求 ChatGPT 对代码进行两个新的修改,一个是将程序的启动时间推迟两分钟。这一更改可以在一定程度上躲过一些监测工具,因为一些沙盒有一个内置的超时(出于性能原因),如果超时被打破,那么他们将以一个干净的判决来回应,即使分析还没有完成。

        第二个更改是要求 ChatGPT 混淆代码。不过,如同直接要求 ChatGPT 提供恶意软件代码一样,当直接要求 ChatGPT 混淆代码时,它也拒绝了。

        当然,从直接的提要求变成间接的引导,ChatGPT 明显更能接受。因此,当 Aaron Mulgrew 要求 ChatGPT 将所有变量改为随机的英文时,它成功地实现了。

        最终,在经过以上两步更改之后,当把 MVP 上传到 VirusTotal 时,结果显示没有一家安全公司检测出这款零日漏洞。也能成功运行可执行文件并将数据泄漏到 Google Drive 平台上。

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”

        随即,Aaron Mulgrew 又让 ChatGPT 生成将可执行文件嵌入 Windows 的 SCR(屏幕保护程序)格式上的代码,然后使 SCR 文件自动执行。

        当成功实现之后,Aaron Mulgrew 将结果上传到 VirusTotal 上,结果显示:69 家供应商只有 3 家将文件标记为恶意软件。

“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”


结语

        值得注意的是,Aaron Mulgrew 创建的恶意软件仅用来测试,并不会对外公开发布。

        尽管如此,通过实验可以发现,仅仅使用 ChatGPT 提示,几乎没有高级编码经验的用户可以轻松绕过 ChatGPT 薄弱的保护,甚至无需输入一行代码即可轻松创建危险的恶意软件。这也让很多人担心,如果使用 ChatGPT 的用户「心怀不轨」,那么后果将不堪设想。

        而如何让 ChatGPT 不沦为作恶的工具,业界还亟需法律法规、道德、使用等规范进行约束。文章来源地址https://www.toymoban.com/news/detail-414150.html

到了这里,关于“我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 零日漏洞预防

    零日漏洞,是软件应用程序或操作系统(OS)中的意外安全漏洞,负责修复该漏洞的一方或供应商不知道该漏洞,它们仍然未被披露和修补,为攻击者留下了漏洞,而公众仍然没有意识到风险。 当组织专注于保护自己免受已知威胁时,攻击者利用零日漏洞躲过了他们的雷达。

    2024年02月05日
    浏览(57)
  • 零日漏洞:威胁与应对

    一、引言 随着信息技术的迅猛发展,网络安全问题日益凸显。其中,零日漏洞已成为当今网络安全领域最受关注的问题之一。本文将深入探讨零日漏洞的威胁、产生原因以及应对策略,以期提高人们对这一问题的认识和防范意识。 二、零日漏洞的威胁 高危性:由于零日漏洞

    2024年01月21日
    浏览(39)
  • 【网络安全】零日漏洞(0day)是什么?如何防范零日攻击?

    零日攻击是利用零日漏洞(0day)对系统或软件应用发动的网络攻击,近年来,零日攻击威胁在日益增长且难以防范,零日攻击已成为企业网络信息安全面临的最严峻的威胁之一。 零日攻击是指攻击者发现并利用服务提供商不知道的弱点。这个漏洞可以存在与软件、操作系统

    2024年02月05日
    浏览(51)
  • APT攻击与零日漏洞

    当谈到网络安全时,APT( 高级持续性威胁 )攻击是最为复杂和难以检测的攻击类型之一。APT攻击通常涉及到高度的技术和策略性,而且它们的目标是深入地渗透和长时间地隐藏在目标网络中。 高级持续性威胁 (APT)是一种网络攻击,其中攻击者为了长期目的而非短期益处进

    2024年02月07日
    浏览(58)
  • 微软10月补丁 | 修复103个漏洞,包括2个零日漏洞,13个严重漏洞

    近日,微软发布了2023年10月的补丁更新,解决了其软件中的103个漏洞。 在这103个漏洞中,有13个的评级为严重漏洞,90个被评为重要漏洞。自9月12日以来,谷歌已经解决了基于chrome的Edge浏览器的18个安全漏洞。 这两个零日漏洞中,一个标识为CVE-2023-36563,涉及Microsoft WordPad,其

    2024年02月06日
    浏览(39)
  • CVE-2023-20198:思科 IOS XE 零日漏洞

    2023年10月17日, Cisco 发布了 IOS XE 软件 的风险通告,漏洞编号为 CVE-2023-20198 ,影响所有启用了 Web UI 功能的 Cisco IOS XE 设备,漏洞等级: 高危 ,漏洞评分: 10 。该漏洞已出现 在野利用 。 Web UI 是一种基于 GUI 的嵌入式系统管理工具,能够提供系统配置、简化系统部署和可管

    2024年02月06日
    浏览(49)
  • 苹果修复了旧款iPhone上的iOS内核零日漏洞

    近日,苹果发布了针对旧款iPhone和iPad的安全更新,回溯了一周前发布的补丁,解决了两个被攻击利用的零日漏洞。这些漏洞可能导致攻击者在受影响的设备上提升权限或执行任意代码。本文将介绍这些漏洞的修复情况以及苹果在修复漏洞方面的持续努力。 首个零日漏洞(C

    2024年02月07日
    浏览(41)
  • 黑客在Pwn2Own Toronto上以58个零日漏洞赚取超过100万美元

    Pwn2Own Toronto 2023黑客大赛已经圆满结束,安全研究人员通过攻击消费类产品的58个零日漏洞(以及多个漏洞碰撞)赚取了1,038,500美元。此次比赛由趋势科技的零日倡议(Zero Day Initiative,简称ZDI)组织,安全研究人员主要针对移动设备和物联网设备展开攻击。 在Pwn2Own Toronto 20

    2024年02月08日
    浏览(70)
  • 我用Vue做了一个天气壁纸

    Hello大家好,我是李小白,是 b站 和 wallpaper engine 的同名作者,更多精彩请关注bilibili 会功夫的李白 ,本期带来的是 wallpaper engine 上面的一款天气壁纸,开发使用的是Vue,然后打包发到wallpaper engine,项目已经发到了github jl15988 ,请参考github perfect-weather ,欢迎Star。 目前该项

    2024年02月12日
    浏览(40)
  • 我用 ChatGPT 写 2023 高考语文作文:全国卷(一)

    【2023】新高考|卷 “好的故事,可以帮我们更好地表达和沟通,可以触动心灵、启迪智慧:好的故事以改变一个人的命运,可以展现一个民族的形象故事是有力量的。” 以上材料引发了你怎样的联想和思考?请写一篇文章 要求:选准角度,确定立意,明确文体,自拟标题;

    2024年02月08日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包