ChatGPT提供惡意程式碼　製造虛假資訊

編譯／陳佩君

ChatGPT是由OpenAI開發的語言模型，原本被設計用於提供有用的資訊和回答問題，而最近駭客開始利用這技術，將其轉變成一個危險的惡意軟體。ChatGPT威力在於它能夠以高說服力方式生成虛假資訊，並可創建看似真實的文章、新聞和社交媒體貼文，以至於讓人難以分辨真假，故這技術對個人和社會造成另一種資訊安全的風險。

研究人員警告，駭客可能利用ChatGPT的人工智慧幻覺（AI Package Hallucination）漏洞來散佈惡意程式碼。Vulcan Cyber軟體漏洞管理公司的Voyager18研究團隊人員於2023年6月6日在一篇部落格文章中說明，他們強調軟體供應鏈所面臨的風險，因為惡意程式碼和木馬可能輕易滲入廣泛使用的應用程式和程式碼資料庫，例如npm、PyPI、GitHub等。

其問題根本原因在於ChatGPT依賴過時且可能不準確的訓練資料，而 ChatGPT能夠生成看似真實但實際上是虛構的資訊，此現象被稱為AI幻覺，當模型在訓練資料之外進行推斷時，會導致似乎合理但可能不準確的回應內容。攻擊涉及對ChatGPT提出與程式碼相關的問題時，ChatGPT會提供程式碼套件的建議，此時駭客利用平台傾向建議未發布或不存在套件的特點，創建惡意版本的程式碼，等待ChatGPT向不知情的開發者推薦惡意程式碼，導致開發者可能會不知不覺安裝並整合惡意程式碼到開發者應用程式和程式碼庫中，從而對軟體供應鏈產生重大風險。

研究人員使用ChatGPT 3.5進行了一個概念驗證模擬證明問題嚴重性，他們與平台進行對話，詢問解決程式碼問題的套件，ChatGPT提供多個套件建議，而其中一些是不存在的。研究人員繼續發佈惡意程式碼，取代不存在的建議。隨後，當另一個使用者提出類似的問題時，ChatGPT建議新建立的惡意程式碼，導致它被安裝並可能造成損害。

這發現增加與ChatGPT相關的一系列安全風險，隨著這個平台的廣泛應用，駭客利用其特性與技術進行各種惡意活動，包含從惡意軟體攻擊、釣魚活動到憑證竊取，故ChatGPT等生成式AI平台崛起吸引正當用戶和惡意行動者的注意。研究團隊提供給開發者如何識別和減輕這些風險的建議，通過審查創建日期、下載次數、評論、星星數和任何相關註解等因素來驗證所下載的套件，尤其對訊息內容來自AI平台而不是社群內的可信來源時，開發者或使用者對生成的資訊保持批判性思維，並驗證其真實性和可靠性，需要特別謹慎用之。

資料來源：HackRead

※更多ChatGPT相關訊息，請參考【生成式AI創新學院】。

瀏覽 570 次