ChatGPT的出現對當今的網絡安全形式構成了一定的威脅。為什么這么說?ChatGPT內置的代碼生成器功能可以快速自定義生成符合攻擊需求的初階代碼,對于菜鳥黑客來說是雪中送炭,對于老鳥來說也是錦上添花。
ChatGPT直接生成惡意代碼,將一個開發能力薄弱,“有心無力”的威脅主體進化成一個可以隨時發動攻擊的“腳本小子”(腳本小子不像真正的黑客那樣發現系統漏洞,他們通常使用別人開發的程序來惡意破壞他人系統)。ChatGPT也能向用戶回答輸出整理之后的網絡攻擊知識,加快菜鳥黑客的學習進程。同時,ChatGPT也擔任了高階黑客的“腳本助手”,雖不能直接完成高級黑客的工作,但ChatGPT的出現大大提升了這類代碼的編寫速度,降低了可觀的工作量。由于攻擊往往需要在限定時間內完成,所以這種提速對黑客來說意義重大。
生成信用卡號探測腳本
在這個案例中,用戶提出了需求,表明需要編寫一段最為精簡的JS腳本來探測特定URL接口數據中的信用卡號,支付信息等內容。ChatGPT給出了多段基于正則表達式的JS腳本,且并未提示違反OpenAI內容生成的相關協議。
支付公司Chai獲4500萬美元融資,軟銀亞洲聯合領投:12月23日消息,韓國支付解決方案平臺Chai 完成 4500 萬美元B輪融資,SoftBank Ventures Asia 和 Nyca Partners 聯合領投。其他參投機構包括KT Investment、Conductive Ventures、Nordstar Capital、Samsung Next和B Capital。
Chai 由Daniel Shin于 2019 年創立,Daniel Shin也曾是區塊鏈公司 Terraform Labs 的聯合創始人。2020 年 12 月,軟銀參與了Chia 6000 萬美元的一輪融資。
據稱,Chai旨在通過一個名為Chai Port 的應用程序編程接口為商家提供統一的支付解決方案,彌合亞洲市場的支付差距。商家可在一小時內激活并提供超過 30 種支付方式,包括信用卡、數字錢包、銀行轉賬和跨境支付。該平臺目前有 2200 多家商戶處理超過 60 億美元的交易。Chai最近在越南和泰國推出。[2021/12/23 7:58:14]
此段代碼雖不能單獨完成一段攻擊,但是可以用于黑客拿到一定權限之后的數據分析工作,加快黑客掠奪數據庫中有價值信息的進程。絕大部分情況下代碼在使用之前仍然需要調試,但是已經提供主體內容如本此探測中的最為復雜的正則部分,剩下的調試工作對于有經驗的黑客來說并不是難事。
DeFi預言機Umbrella:Chainswap黑客竊取超300萬枚UMB代幣,將回購價值110 ETH的UMB代幣:官方消息,DeFi預言機Umbrella Network表示,跨鏈資產橋Chainswap今天遭到黑客攻擊,許多與其合作在以太坊和幣安智能鏈之間連接代幣的項目都受到了影響,竊取10多個項目的代幣,包括Umbrella Network、Antimatter、Dafi、Option Room、Blank、Razor、Oro等。黑客在以太坊網絡從Chainswap資金庫竊取所有超300萬枚UMB代幣。黑客很可能已經出售了所有UMB代幣。作為預防措施,Chainswap已在BSC上凍結了Umbrella的UMB代幣。BSC上的UMB不能在Pancakeswap上交換或轉移到其他錢包。
為了抵消黑客向市場出售的額外UMB,Umbrella將在以太坊上回購價值110 ETH的UMB,這是黑客從中獲利的金額,將把價值110 ETH的UMB保存在一個公開披露的錢包中,并作為一個社區來決定如何處理它。一種可能的選擇是捐贈給社區選擇的一個或多個慈善機構。此外,Umbrella表示,將在不久的將來推出自己的資產橋,用于跨ETH-BSC以及其他未來支持的鏈。[2021/7/11 0:43:11]
生成釣魚郵件
火幣全球站將于今日20時開放BCHA幣幣交易:據官方公告,Bitcoin Cash硬分叉已完成,火幣全球站現已完成BCHA代幣發放。火幣全球站“全球觀察區”將上線BCHA (Bitcoin Cash ABC),具體安排如下:1.2020年11月19日20:00開放BCHA幣幣交易(BCHA/USDT、BCHA/BTC)。
2.火幣全球站將持續監測BCHA網絡,待其主網穩定后開放充提業務,具體時間將以公告另行通知。
3.火幣全球站將在開放交易后5分鐘內限制限價交易的掛單價格,且價格不得高于開盤價格的5倍,5分鐘后恢復正常交易。[2020/11/19 21:22:35]
ChatGPT的強項是生成具有一定格式化,無需太多邏輯,且表達通常的文書。釣魚郵件便很符合這類特點,需要較為官方的語氣使被攻擊者信服。通常情況下人為撰寫這么一份文書是較為耗時的,ChatGPT將徹底改變這種情況,因為它允許攻擊者大規模地生成偽官方的個性化電子一件通知。但是,要使郵件包含所有攻擊者想要的必要組件,攻擊者必須向chatGPT提供非常詳細的說明。
動態 | 加密貨幣錢包Blockchain.com用戶超4000萬:截至2019年8月27日,加密貨幣錢包Blockchain.com已擁有超過4000萬的錢包用戶,確切地說是41527053人。[2019/8/29]
主流網絡釣魚攻擊通常由一系列電子郵件配合構成,每封電子郵件都會逐漸獲得受害者更多的信任。因此,對于第二、第三和第N封電子郵件,由于ChatGPT可以“記住”上下文的內容(用戶輸入)和情節(前項輸出),因此它確實可以為網絡犯罪分子節省大量撰寫的時間。現階段對于此類機器生成的文本內容,暫時還并沒有很好的識別和偵測方法,對于這類“高仿真”的文本人類逐漸失去分辨能力。
國際空頭James Chanos:在危機中,我最不想擁有的就是比特幣:曾準確預測安然公司破產的沽空者Jim Chanos在采訪中說:“比特幣會在危機中失敗。對于那些認為在最壞的情況下需要有數字貨幣作為價值儲存手段的人來說,其實數字貨幣最沒用。如果天塌下來,我最不想擁有的就是比特幣。”[2018/6/5]
法律風險分析
幫助信息網絡犯罪活動罪
所謂幫信罪,全稱是幫助信息網絡犯罪活動罪(以下簡稱“幫信罪”),被規定于我國《刑法》第287條之二中,指的是明知他人利用信息網絡實施犯罪,為其犯罪提供互聯網接入、服務器托管、網絡存儲、通訊傳輸等技術支持,或者提供廣告推廣、支付結算等幫助。近年來,幫信罪呈井噴式發展,根據最高檢2021年發布的前三季度全國檢察機關主要辦案數據。2021年的9個月里,全國檢察機關起訴幫信罪同比增長21.3倍,起訴人數達79307人,從數量上看與危險駕駛罪、盜竊罪、詐騙罪并駕齊驅排名第四。2022年上半年則更為恐怖,僅僅6個月的時間,全國檢察院就已起訴6.4萬人,超過了詐騙罪的人數。
那么,一個關鍵的問題,如果自家開發的ChatGPT等AI工具被犯罪分子利用為上述犯罪工具,是否會構成幫信罪?先給答案:有可能。
先說幫信罪,在該罪的客觀方面,法條明確規定行為人需要為上游利用信息網絡實施犯罪活動的犯罪分子提供互聯網接入、服務器托管、網絡存儲、通訊傳輸、支付結算等特定類型化的技術支持與幫助行為才能構成犯罪。因此,是否構成該罪有三個重點需要考慮:行為人提供幫助的上游犯罪行為是否是“利用信息網絡實施的犯罪行為”?提供幫助的行為人是否“明知”他人正在實施犯罪?以及行為人是否為上游犯罪提供了技術、推廣和資金結算方面的支持?
如前所述,如果犯罪分子利用ChatGPT等工具生成釣魚郵件實施網絡詐騙,即可被認定為“利用信息網絡實施的犯罪行為”。那么我們接下來考慮,ChatGPT的運營方是否“明知”他人正在利用AI工具實施網絡犯罪?在幫信罪的構成要件中,認定“明知他人利用信息網絡實施犯罪”是重中之重,也爭議最大。但是2019年兩高發布《在關于辦理非法利用信息網絡、幫助信息網絡犯罪活動等刑事案件適用法律若干問題的解釋》后,關于“明知”的認定迎刃而解,該司法解釋第11條引入了推定的方法,列舉了6種可以推定行為人明知他人犯罪的情形,除有相反證據證明否則直接可認定行為人主觀上具備“明知”要件。六種情形我們就不一一例舉,但用ChatGPT來說,如果實踐中(1)經監管部門告知如果該AI被利用為犯罪工具后仍然實施有關行為;或(2)接到該AI被利用為犯罪工具的舉報后不履行法定管理職責,即可被認定為ChatGPT的運營商“明知”他人正在利用自己開發的工具實施犯罪。
最后,使用ChatGPT生成可信度更高的網絡詐騙文案或者生成推廣文案,是否屬于為上游犯罪提供了技術、推廣、結算方面的支持?颯姐團對認為這個問題具有一定的爭議,且由于目前尚未有可供參考的司法實踐,我們不能給出一個絕對肯定的答案,因此還需要具體案件具體分析。但是,總的來說,如果ChatGPT生成的釣魚軟件可信度較高、推廣文案非常容易吸引一般用戶的注意,那么我們認為,在我國的司法實踐中,大概率會將這種AI工具列入“提供技術幫助”或“推廣幫助”的行為,運營者們務必警惕。
拒不履行信息網絡安全管理義務罪
ChatGPT作為類似于信息發布、搜索引擎的網絡服務提供者,需要履行信息網絡安全管理義務。如果類似網絡攻擊類違法信息被監管部門要求責令整改,而平臺無法提供有效的管理措施或技術措施來阻止該類信息傳播,致使違法信息大量傳播的,則可能涉嫌拒不履行網絡安全管理義務。
致使違法信息大量傳播的標準是很明確的,致使傳播違法視頻文件以外的其他違法信息二千個以上的,或者致使向二千個以上用戶賬號傳播違法信息的,都算作大量傳播。類似于OpenAI這樣體量的公司很容易達到這個數額。且若有一個安全漏洞在ChatGPT等平臺中廣泛的被咨詢,從而造成了大量的社會危害,容易被歸為“造成嚴重后果”。但實際上,由于構成該罪需要運營方被監管部門要求責令整改后依然拒不整改才能構成,在司法實踐中較為少見,因此總體來看風險與前述犯罪相比并不大。
寫在最后
毫無疑問,ChatGPT可以減少網絡安全專業人員/黑客的工作量。但就目前而言,除了機器效率,沒有什么可以與人類的工作相提并論——后者仍然比這種人工智能技術更準確、更可靠。
ChatGPT可以作為網絡安全行業積極正向的推動,也可以淪為黑客手中惡意攻擊的輔助工具。平臺方應該更好的安全措施和內容過濾機制來防止類似模型被用于惡意代碼設計等網絡攻擊的實施。
颯姐團隊提醒您,ChatGPT雖好,但是也是一把雙刃劍。企業平在開發平臺的過程中需要重視相關輸出信息的篩選和過濾,事先提供明確的技術治理和救濟機制,稍被不慎利用,便可能會有刑事風險纏身。
肖颯lawyer
個人專欄
閱讀更多
金色早8點
金色財經
Arcane Labs
Odaily星球日報
歐科云鏈
澎湃新聞
深潮TechFlow
MarsBit
BTCStudy
鏈得得
原文標題:《Highlights From CZ’s Valentine’s Day AMA》 撰文:幣安 編譯:Frank.
1900/1/1 0:00:00撰寫:Crypto in Black編譯:深潮 TechFlow在即將到來的周期中,許多最好的第一層區塊鏈即將到來。他們可能會在下一次牛市中上漲 30-60 倍.
1900/1/1 0:00:00文:VickyXiao 在試圖追上微軟和OpenAI在人工智能方面的先發優勢時,谷歌自己搞砸了.
1900/1/1 0:00:00撰寫:0xbun,深潮 TechFlow老人說,2024 年是走離火運,科技將是最有“錢”景的行業.
1900/1/1 0:00:00Synthetix v3 提案獲治理委員會全體投票通過,這次升級對 Synthetix 意味著什么? 當前有 5 個與 Synthetix V3 升級相關的活躍投票:SIP-300 Synthe.
1900/1/1 0:00:00原文:《The Memes by 6529》by Amey Pray編譯:深潮 TechFlow Meme 不僅僅是用讓人發笑的文字疊加的圖像.
1900/1/1 0:00:00