IBM 的一項(xiàng)新研究表明，當(dāng)前的生成式人工智能 (AI) 模型已經(jīng)非常擅長(zhǎng)編寫(xiě)看似高度可信的網(wǎng)絡(luò)釣魚(yú)電子郵件，并且可以為攻擊者節(jié)省大量時(shí)間。

在IBM針對(duì)一家未透明名稱(chēng)的全球醫(yī)療保健公司1600 名員工進(jìn)行的測(cè)試中，各有一半的員工分別收到了來(lái)自由真人和AI編寫(xiě)的釣魚(yú)郵件，結(jié)果顯示，14% 的員工誤入了真人編寫(xiě)的釣魚(yú)電子郵件并點(diǎn)擊了惡意鏈接，11% 的員工則陷入了由ChatGPT 編寫(xiě)的釣魚(yú)郵件。

由 ChatGPT 制作的釣魚(yú)電子郵件（由 IBM 提供）

雖然由真人編寫(xiě)的釣魚(yú)郵件在欺騙度上高于AI，但差距已經(jīng)不大，更重要的是，研究人員只用了五分鐘就讓 ChatGPT 寫(xiě)出了一封釣魚(yú)郵件。

領(lǐng)導(dǎo)這項(xiàng)實(shí)驗(yàn)的 IBM 首席人力黑客斯蒂芬尼·卡拉瑟斯（Stephanie Carruthers） 說(shuō)道：““我的團(tuán)隊(duì)通常需要大約 16 個(gè)小時(shí)來(lái)構(gòu)建網(wǎng)絡(luò)釣魚(yú)電子郵件，而且這還不考慮基礎(chǔ)設(shè)施設(shè)置。因此，攻擊者可以通過(guò)使用生成式人工智能模型節(jié)省近兩天的工作時(shí)間。”

雖然ChatGPT 開(kāi)發(fā)商 OpenAI 已經(jīng)采取了保護(hù)措施，防止聊天機(jī)器人響應(yīng)網(wǎng)絡(luò)釣魚(yú)電子郵件、惡意軟件或其他惡意網(wǎng)絡(luò)工具的直接請(qǐng)求。但卡拉瑟斯和她的團(tuán)隊(duì)已經(jīng)找到了解決方法。

團(tuán)隊(duì)首先要求 ChatGPT 列出醫(yī)療保健行業(yè)員工關(guān)注的主要領(lǐng)域，然后提示 ChatGPT在電子郵件中列出最重要的社交工程和營(yíng)銷(xiāo)技術(shù)，以提高更多員工點(diǎn)擊電子郵件中惡意鏈接的可能性。接著，提示詢(xún)問(wèn) ChatGPT 發(fā)件人應(yīng)該是誰(shuí)——公司內(nèi)部人員、供應(yīng)商或外部組織。最后，要求ChatGPT根據(jù)剛剛提供的信息制作一封電子郵件。

“我擁有近十年的社會(huì)工程經(jīng)驗(yàn)，制作了數(shù)百封網(wǎng)絡(luò)釣魚(yú)電子郵件，我甚至發(fā)現(xiàn)人工智能生成的網(wǎng)絡(luò)釣魚(yú)電子郵件相當(dāng)有說(shuō)服力，”卡拉瑟斯說(shuō)。

她解釋說(shuō)，在創(chuàng)建網(wǎng)絡(luò)釣魚(yú)電子郵件方面，人仍然比機(jī)器更好，因?yàn)樯墒饺斯ぶ悄苣Ｐ腿匀蝗狈ζ垓_更多人所需的情商。

然而，IBM X-Force 已經(jīng)觀察到，諸如 WormGPT 之類(lèi)的工具在各種宣傳網(wǎng)絡(luò)釣魚(yú)功能的論壇上出售，表明攻擊者正在測(cè)試人工智能在網(wǎng)絡(luò)釣魚(yú)活動(dòng)中的使用，而且該技術(shù)正在不斷改進(jìn)。