什麽是ChatGPT?
不少和ChatGPT“聊過天”的網友紛紛感歎,“隻有你想不到,沒有ChatGPT辦不成的”。和ChatGPT聊天,可以直奔主題、開(kāi)門見山,也能由淺入深、由表及裏。
這款AI語言模型,讓撰寫郵件、論文、腳本,制定商(shāng)業提案,創作詩歌、故事,甚至敲代碼、檢查程序錯誤都變得易如反掌。
ChatGPT存在的風險
最近,美國聯邦政府發布了一(yī)份報告,稱用戶需密切注意ChatGPT存在的網絡安全風險,尤其是在網絡釣魚和惡意軟件開(kāi)發領域。
在發布的咨詢意見報告中(zhōng),政府部門警告,盡管微軟支持的人工(gōng)智能工(gōng)具ChatGPT獲得了前所未有的成功,吸引了大(dà)量頭部企業和資(zī)本瘋狂湧入AI賽道,一(yī)時間AI成爲當下(xià)最爲火(huǒ)熱的賽道之一(yī)。
但是,AI 也帶來了安全方面的風險,尤其是在網絡釣魚郵件制作和惡意軟件生(shēng)成等方面,以ChatGPT爲代表的AI工(gōng)具存在重大(dà)安全風險。該報告指出,爲了防止這類AI工(gōng)具帶來的威脅,企業必須積極主動地采取極其謹慎、盡職盡責和密切注意的态度,避免出現更糟糕的情況。
攻擊者作惡能力的放(fàng)大(dà)
此報告列舉了惡意攻擊者使用ChatGPT的部分(fēn)方法清單,具體(tǐ)如下(xià):
01惡意軟件生(shēng)成
利用ChatGPT生(shēng)成惡意軟件不再隻是一(yī)種可能存在的理論,惡意攻擊者對它的利用已經越來越熟練,并且在暗網上開(kāi)始了各種各樣的讨論和嘗試。
02制作網絡釣魚電子郵件
和惡意軟件生(shēng)成不同的是,在釣魚郵件方面ChatGPT已經向用戶展現出其強大(dà)的能力。惡意攻擊者可以利用它來生(shēng)成網絡釣魚和魚叉式網絡釣魚電子郵件,并且這些電子郵件有可能通過電子郵件提供商(shāng)的垃圾郵件過濾器。
03詐騙網站
通過降低代碼生(shēng)成門檻,ChatGPT 可以幫助技能較低的威脅行爲者輕松構建惡意網站,例如僞裝和網絡釣魚登陸頁面。例如,零技能或很少技能的惡意行爲者可以使用 ChatGPT 克隆現有網站,然後對其進行修改、構建虛假電子商(shāng)務網站或運行帶有恐吓軟件詐騙的網站等。
04發布虛假信息
通過 ChatGPT,用戶可以使用能夠撰寫極具說服力的散文、在短時間内生(shēng)成數千條虛假新聞報道和社交媒體(tǐ)帖子的軟件。
企業&用戶安全防護指南(nán)
01提高對釣魚郵件的防範
· 千萬不要打開(kāi)未知(zhī)、意外(wài)或可疑的電子郵件、鏈接和附件;
· 在下(xià)載附件之前,使用電子郵件服務提供商(shāng)提供的防病毒軟件對其進行掃描,即便是可信任的附件。如果電子郵件服務不提供病毒掃描功能,則所有下(xià)載的文件在打開(kāi)前都可以用本地的殺毒軟件掃描;
· 對所有計算機設備,包括個人台式電腦、筆記本電腦、手機、可穿戴設備等操作系統和軟件應用程序進行更新;
· 在所有的計算機設備中(zhōng)使用著名的、可信的防病毒軟件;
· 不要在官方設備上使用個人帳戶;
· 盡可能使用多因素身份驗證(MFA);
· 絕不與未經授權/可疑的用戶、網站、應用程序等共享個人信息和證書(shū);
· 始終在浏覽器中(zhōng)鍵入URL,而不是直接點擊鏈接.
02識别惡意軟件僞裝指南(nán)
(1)管理員(yuán)
· 通過在操作系統、BIOS和應用程序級别上實現強化系統,盡可能地限制傳入的流量和用戶權限;
· 通過系統強化來阻止未經授權的存儲介質(例如 USB);
· 經常格式化可移動媒體(tǐ),盡量避免惡意軟件在系統内橫向傳播;
· 通過文件哈希、文件位置、登錄和失敗的登錄嘗試來監控網絡活動;
· 使用知(zhī)名的、可信的反惡意軟件、防病毒、防火(huǒ)牆、IP、IDS、SIEM解決方案;
· 對離(lí)線 LAN 和在線網絡使用單獨的服務器/路由;
· 根據需要允許特定用戶訪問互聯網并限制數據使用/應用程序權限;
· 下(xià)載之前通過數字代碼簽名技術驗證軟件和文檔;
· 在郵件系統管理員(yuán)控制和其他關鍵系統中(zhōng)實施 MFA(多重身份驗證);
· 始終定期維護關鍵數據的備份;
· 定期更改管理員(yuán)級别的密碼;
· 定期修補和更新所有操作系統、應用程序和其他技術設備;
· 爲了減少惡意代碼執行的攻擊面;建議用戶始終使用具有标準用戶權限的帳戶登錄。
(2)終端用戶
· 下(xià)載之前,請務必重新驗證通過輔助方式(電話(huà)、短信、口頭)發送電子郵件/附件的受信任用戶;
· 立即向管理員(yuán)報告任何可疑活動;
· 切勿将關鍵數據存儲在在線系統上,而應将其存儲在獨立系統上。
(3)ChatGPT用戶安全準則
· 使用ChatGPT 時,請注意共享的信息。避免共享敏感或機密信息,例如密碼、财務信息或個人詳細信息。
· 謹慎對待鏈接和附件。ChatGPT 可能會提供鏈接或附件作爲其答案的一(yī)部分(fēn),但在單擊它們之前請務必小(xiǎo)心謹慎。請務必驗證鏈接或附件的來源,并謹防可疑/未知(zhī)來源。
· 政府機構工(gōng)作人員(yuán)手機不得用于 ChatGPT。
(4)如果在使用ChatGPT時遇到安全問題,請立即向Open AI報告。
參考鏈接:https://www.thenews.com.pk/latest/1088379-warning-for-those-using-chatgpt