微软押注、亚马逊翻牌，ChatGPT却要被“黑客”玩坏了？

眼下，ChatGPT的热度不减。成为互联网的焦点。

前有微软计划投资100亿美元入股ChatGPT的母公司OpenAI，意欲将其整合到旗下必应、办公软件等产品中，后有亚马逊在多个工作职能中启用ChatGPT。

而“美版今日头条”BuzzFeed宣布未来将使用ChatGPT帮助创作内容，消息一出市值当天暴涨119.88%，好不热闹。

随之而来的是，黑客也有了浓厚的兴趣。

日前，Check Point Research发出安全警告，称黑客可能利用炙手可热的ChatGPT发动高效的网络攻击。

那么，ChatGPT真能被非法利用？如若小白借其也能炮制病毒，黑客会不会要“失业”了？黑客进入AI时代，普通人该不该慌？

人工智能成为黑客的新“玩具”

“调戏”ChatGPT，可谓风靡一时。

既可以聊天对答如流，又可以智能翻译外文，还可以自动生成文案，更可以编写代码，堪称一个“多面手”。

万万没想到，ChatGPT被“玩坏”了。

据公开资料显示，知名黑客USDoD之前从未涉足脚本，好奇心驱使之下借助 ChatGPT生成了人生第一个可以执行加解密功能的Python脚本，虽然加解密属于中性功能，但稍加改造就可以变成勒索病毒。 

这意味着，黑客有了别样的心思。

这并非耸人听闻，一个名为《ChatGPT–Benefits of Malware》的帖子在黑客圈广为流传，帖子中展示了一个Java片段，可以用来下载盗号木马、勒索病毒、流氓软件等恶意程序。

换而言之，利用 ChatGPT 炮制病毒是行得通的。

而Check Point Research则有更进一步的研究：先是要求ChatGPT冒充托管公司，接着令其生成附带恶意Excel的电子邮件，该Excel被激活后可以下载恶意代码，恶意代码可以协助黑客完成远程访问，从而控制电脑或服务器。

上述模拟攻击表明，尽管ChatGPT 条款禁止将其用于非法或恶意目的，但只要黑客愿意绕过限制不费吹灰之力。

对此，知名互联网科技博主RevengeRangers表示：“还真有人用ChatGPT写木马，还广泛植入并且被安全厂商抓住分析了。”

以上可见，人工智能成为黑客的新“玩具”，一个新的时代来了。

更为关键的是，入侵成本大大降低。

一名渗透测试工程师告诉锌刻度：“这是一个危险的信号，当年黑客工具大众化就拉低了门槛，现在小白可以涉及代码层面，门槛再度拉低。”

于是乎，黑客未来或“失业”的声音渐起。

ChatGPT并不能颠覆黑客生态

不过，上述声音并未得到主流认可。

一名要求匿名的黑客告诉锌刻度：“脱壳技术出现，你们说黑客要完蛋；虚拟机杀毒诞生，你们说黑客要完蛋；云杀毒面世，你们说黑客要完蛋；现在轮到ChatGPT了，你们又说黑客要完蛋；说白了，不就是内心盼着黑客完蛋嘛！”

该匿名黑客在大学期间就迷上了黑客技术，从此打开了一个新世界的大门。

彼时，其迷上了QQ盗号。

之所以如此，是为了向同学炫耀，并没有其他目的，如今引以为耻，且对这段“黑历史”其讳莫如深，“年轻的时候什么也不懂，仗着键盘记录器整蛊同学，觉得好威风、好神奇”。

从黑客工具起步，一步一步深入黑客技术一二十年，早已今非昔比。

“ChatGPT说到底就是一个提升效率的工具，而这类工具比比皆是，以前就有病毒自动生成器，也没见黑客‘失业’了。”该匿名黑客认为不存在威胁，“与其说ChatGPT可以取代黑客，不如说可以取代翻译，足以让普通人无障碍阅读任何外文，以后的小孩没必要外语学那么深。”

简而言之，ChatGPT并不能颠覆黑客生态。

资深病毒专家王磊告诉锌刻度：“会写病毒代码，既重要，也不重要，关键在于有没有编码思维、有没有逻辑思维，这是一个相当复杂的问题，ChatGPT是搞不定的，最起码现在看不到这种趋势。”

王磊进一步表示，初次尝鲜ChatGPT时颇为惊艳，似乎什么都懂，连病毒代码中的语法错误也可以纠正，大有一副“你负责创意，我负责重复劳动”的派头。

上手之后，认为不过如此。

当下，ChatGPT尚无法解决免杀的问题，而病毒如果不能免杀，则没有生存空间。

据公开数据显示，2003年~2009年为国内病毒最为猖狂的时期，一年新增病毒数量可超4000万个，杀毒软件非但疲于奔命，在与病毒对抗之时总是慢半拍。 

直到2009年，云杀毒技术面世，才出现了转机。

云杀毒的精髓为杀毒软件用户数量越多，搜集可疑文件的速度就越多，预警及查杀新病毒的响应时间就越短。

如此一来，病毒的生存周期大为缩短，甚至一个小时不到就能被杀毒软件识破真面目，从而病毒的主动权逐步丧失。

由此可见，免杀对病毒的重要性不言而喻。

问题在于，无论是加花免杀、或是加壳免杀，再或是修改特征码，另或是行为免杀等，ChatGPT现阶段均搞不定。

“ChatGPT未来搞定基础的通用代码应该问题不大，但高级的商用代码还是离不开人，说白了ChatGPT相当于一个游戏引擎，可以节省许多琐碎的开放工作，但不能直接自动生成一个复杂的大型游戏。”王磊如是说。

普通人化身“黑客”易如反掌？

尽管如此，仍有声音认为利用ChatGPT作恶，只是时间问题。

一名业内人士表示，钓鱼攻击原本就比病毒攻击更容易实现，ChatGPT助力之下门槛更低、上手更容易，不排除未来普通人也有非分之想。

Picus Security联合创始人苏莱曼·奥扎斯兰表示：“输入了一个提示，要求ChatGPT写一封世界杯主题的电子邮件，用于网络钓鱼模拟，结果它在短短几秒钟内就用完美的英文创建完成了一封。”

实际上，之前的世界杯，钓鱼攻击翻倍。

譬如，有不法分子创建仿冒的世界杯钓鱼网站，有不法分子创建仿冒的世界杯钓鱼网站，骗取用户输入的账号和密码，再利用个人信息骗取官方的赠品。

一名行业人士表示：“在网络安全方面，ChatGPT 可以为攻击者提供比目标更多的东西，对于商业电子邮件来说尤其如此，这种攻击依赖于使用欺骗性内容来冒充同事、公司 VIP、供应商甚至客户。”

来自微软旗下网络安全公司RiskIQ的数据表明，网络安全问题导致全世界企业的损失每分钟达到180万美元，一年下来这一损失接近1万亿美金。

一言以蔽之，人工智能时代，普通人哪怕没有代码知识，也不懂黑客技术，化身“黑客”也易如反掌。

不过，也有不同的声音。

通过威胁情报收集、病毒代码样本分析、漏洞报告自动编写等，ChatGPT 也可成为安全防御的“利器”。

对此，游侠安全网站长、首席信息安全官网创始人张百川公开表示：“以后这个接口可以卖给安全公司，安全公司可以用来作木马分析，以前要靠人工的现在接口就搞定了，用魔法打败魔法，让它左右手互搏。”

总而言之，ChatGPT是一个新鲜事物，黑客对其感兴趣，安全厂商也对其兴趣，未来ChatGPT会成为谁的武器，尚无法下结论。

唯一可以确定的是，大家处于同一技术起跑线。

本文来自微信公众号 “锌刻度”（ID：znkedu），作者：陈邓新，36氪经授权发布。

该文观点仅代表作者本人，36氪平台仅提供信息存储空间服务。