ChatGPT的出现对当今的网络安全造成了一定的威胁。为什么这么说?ChatGPT内置的代码生成器功能,可以快速定制生成符合攻击要求的初始代码,对于黑客新手来说是雪中送炭,对于老鸟来说更是锦上添花。
ChatGPT直接生成恶意代码,将一个开发能力较弱、“无能为力”的威胁主体转化为一个随时可以发起攻击的“脚本小子”(与真正的黑客不同,脚本小子通常利用他人开发的程序恶意破坏他人系统)。ChatGPT还可以输出后回答用户的网络攻击知识,加快新手黑客的学习进程。与此同时,ChatGPT还担任过高级黑客的“脚本助手”。虽然不能直接完成高水平黑客的工作,但是ChatGPT的出现大大加快了这类代码的编写速度,减少了相当大的工作量。因为攻击往往需要在有限的时间内完成,所以这种提速对黑客来说意义重大。
生成信用* *探测脚本
在这种情况下,用户提出了一个需求,表示需要编写一个最简洁的脚本来检测具体URL接口数据中的信用* *、支付信息等内容。ChatGPT给出了多个基于正则表达式的脚本,并没有暗示违反OpenAI内容生成的相关协议。
这段代码虽然不能单独完成一次攻击,但可以在黑客获得一定权限后用于数据分析,加速黑客掠夺数据库中有价值信息的过程。大多数情况下,代码在使用前还需要调试,但主要内容已经提供了,比如这个探针中最复杂的常规部分,剩下的调试工作对于有经验的黑客来说并不难。
生成网络钓鱼电子邮件
ChatGPT的强项是生成某种格式,不需要太多的逻辑,表达通常的文档。钓鱼邮件符合这类特征,需要更官方的语气来说服攻击者。人工编写这样的文档通常很耗时。ChatGPT将彻底改变这种情况,因为它允许攻击者大规模生成一个伪官方的个性化电子通知。但是,为了使电子邮件包含攻击者想要的所有必要组件,攻击者必须向chatGPT提供非常详细的说明。
主流的钓鱼攻击通常由一系列邮件组成,每封邮件都会逐渐获得受害者更多的信任。所以对于第二封、第三封、第n封邮件,ChatGPT可以“记住”上下文的内容(用户输入)和情节(前段输出),所以确实可以为网络罪犯节省大量的写作时间。对于这种机器生成的文本内容,目前还没有很好的识别和检测方法,人类也逐渐失去了分辨这种“高仿真”文本的能力。
法律风险分析
帮助信息网络犯罪活动罪
所谓的帮信罪,就是我国刑法第二百八十七条之二规定的帮助信息网络犯罪(以下简称“帮信罪”)。是指提供互联网接入、服务器托管、网络存储、通信传输等技术支持,或者提供广告推广、支付结算等协助。根据最高人民检察院发布的2021年前三季度全国检察机关主要办案数据,近年来,扶信犯罪呈井喷式发展。2021年9个月,全国检察机关因助信起诉人数同比增长21.3倍,起诉人数达79307人,与危险驾驶罪、盗窃罪、诈骗罪并列数量第四。2022年上半年,更是惨不忍睹。仅在6个月内,全国检察院就起诉了6.4万人,超过了犯诈骗罪的人数。
那么,一个关键的问题,如果我们自己开发的ChatGPT等AI工具被不法分子用作上述犯罪工具,是否会构成帮信罪?先给出答案:有可能。
先说帮信罪。在本罪的客观方面,法律明确规定,行为人需要为利用信息网络上游实施犯罪活动的犯罪分子提供互联网接入、服务器托管、网络存储、通信传输、支付结算等特定类型的技术支持和帮助才构成犯罪。因此,考虑是否构成犯罪有三个关键点:行为人提供帮助的上游犯罪行为是否属于“利用信息网络实施的犯罪行为”?提供帮助的行为人是否“知道”他人在实施犯罪?以及行为人是否为上游犯罪提供了技术、推广和资金结算支持?
如前所述,犯罪分子利用ChatGPT等工具生成钓鱼邮件,实施网络诈骗的,可以认定为“利用信息网络实施的犯罪行为”。那么接下来我们考虑一下,ChatGPT的运营者是否“知道”他人在利用AI工具实施网络犯罪?在帮信罪的构成要件中,认定“明知他人利用信息网络实施犯罪”是最重要的,也是最有争议的。但2019年两高出台了《关于办理非法利用信息网络、帮助信息网络犯罪等刑事案件适用法律若干问题的解释》,解决了“明知”的认定。司法解释第十一条引入了推定的方法,列举了可以推定行为人知道他人犯罪的六种情形。除非有相反证据,否则可以直接认定行为人主观上具有“明知”的要件。我们就不举六种情况的例子了,但是在ChatGPT的案例中,如果在实践中(1)如果AI被监管部门告知被用作犯罪工具,它仍然会实施相关行为;或者(2)接到人工智能被用作犯罪工具的举报后,未履行法定管理职责的,可以认定ChatGPT的运营人“明知”他人正在使用自己的工具实施犯罪。
最后,ChatGPT是通过生成更可信的网络诈骗文案,还是生成推广文案,为上游犯罪提供技术、推广和结算支持?撒姐一伙对这个问题争议较大,且由于目前没有司法实践可供参考,无法给出绝对肯定的答案,需要具体案例具体分析。但总体来看,如果ChatGPT生成的钓鱼软件可信度高,推广文案非常容易引起普通用户的注意,那么我们认为在我国的司法实践中,这种AI工具有很大概率会被纳入“提供技术帮助”或“推广帮助”的行为,经营者必须提高警惕。
拒不履行信息网络安全管理义务罪
ChatGPT作为类似于信息发布和搜索引擎的网络服务提供商,需要履行信息网络安全管理的义务。如果类似网络攻击的违法信息被监管部门责令整改,平台不能提供有效的管理措施或技术措施阻止该类信息传播,导致大量违法信息传播,可能涉嫌拒不履行网络安全管理义务。
大规模传播违法信息的认定标准非常明确,导致传播违法视频文件以外的违法信息2000条以上,或者向2000个以上用户账号传播违法信息的,都算大规模传播。OpenAI这样的公司很容易达到这个量。而一个安全漏洞如果在ChatGPT等平台被广泛咨询,会造成很大的社会危害,容易被归为“造成严重后果”。但实际上,只有在被监管部门责令整改后经营者拒不整改的情况下才能构成该罪,这在司法实践中比较少见,所以整体风险相比上述犯罪并不大。
写在最后
毫无疑问,ChatGPT可以减轻网络安全专业人员/黑客的工作量。但就目前而言,除了机器效率,没有什么能和人类的工作相提并论——后者仍然比这种人工智能技术更准确可靠。
ChatGPT可以作为网络安全行业的正面推动力,也可以沦为黑客手中恶意攻击的辅助工具。平台方应采取更好的安全措施和内容过滤机制,防止类似模型被用于恶意代码设计等网络攻击的实施。
撒姐团队提醒你,ChatGPT虽好,但也是把双刃剑。企业在开发平台的过程中,需要注意对相关产出信息的筛选和过滤,提前提供明确的技术治理和救济机制。如果不小心使用,它们可能会充满犯罪风险。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"ChatGPT:是平台的缪斯还是黑客的“MOSS”?":http://www.guoyinggangguan.com/qkl/178388.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
