火星链 火星链
Ctrl+D收藏火星链
首页 > 比特币 > 正文

CHA:ChatGPT:是平台的缪斯还是黑客的“MOSS”?

作者:

时间:1900/1/1 0:00:00

ChatGPT的出现对当今的网络安全形式构成了一定的威胁。为什么这么说?ChatGPT内置的代码生成器功能可以快速自定义生成符合攻击需求的初阶代码,对于菜鸟黑客来说是雪中送炭,对于老鸟来说也是锦上添花。

ChatGPT直接生成恶意代码,将一个开发能力薄弱,“有心无力”的威胁主体进化成一个可以随时发动攻击的“脚本小子”(脚本小子不像真正的黑客那样发现系统漏洞,他们通常使用别人开发的程序来恶意破坏他人系统)。ChatGPT也能向用户回答输出整理之后的网络攻击知识,加快菜鸟黑客的学习进程。同时,ChatGPT也担任了高阶黑客的“脚本助手”,虽不能直接完成高级黑客的工作,但ChatGPT的出现大大提升了这类代码的编写速度,降低了可观的工作量。由于攻击往往需要在限定时间内完成,所以这种提速对黑客来说意义重大。

生成信用卡号探测脚本

在这个案例中,用户提出了需求,表明需要编写一段最为精简的JS脚本来探测特定URL接口数据中的信用卡号,支付信息等内容。ChatGPT给出了多段基于正则表达式的JS脚本,且并未提示违反OpenAI内容生成的相关协议。

Polygon推出由ChatGPT提供支持的Polygon Copilot:6月21日消息,以太坊扩展解决方案Polygon推出人工智能驱动的界面Polygon Copilot,只需询问即可解锁交互世界。名为Polygon Copilot的人工智能界面由GPT-4大语言模型提供支持,并根据有关Polygon区块链的文档进行了培训。Polygon Copilot还具有三个不同的级别(初级、高级和高级),这将根据用户使用界面的舒适度为用户提供帮助。[2023/6/22 21:52:54]

此段代码虽不能单独完成一段攻击,但是可以用于黑客拿到一定权限之后的数据分析工作,加快黑客掠夺数据库中有价值信息的进程。绝大部分情况下代码在使用之前仍然需要调试,但是已经提供主体内容如本此探测中的最为复杂的正则部分,剩下的调试工作对于有经验的黑客来说并不是难事。

生成钓鱼邮件

ChatGPT的强项是生成具有一定格式化,无需太多逻辑,且表达通常的文书。钓鱼邮件便很符合这类特点,需要较为官方的语气使被攻击者信服。通常情况下人为撰写这么一份文书是较为耗时的,ChatGPT将彻底改变这种情况,因为它允许攻击者大规模地生成伪官方的个性化电子一件通知。但是,要使邮件包含所有攻击者想要的必要组件,攻击者必须向chatGPT提供非常详细的说明。

澳大利亚首批现货BTC/ETH ETF正式在Cboe Exchange上线:金色财经报道,澳大利亚首批现货BTC/ETH ETF已正式在Cboe Exchange上线,其中之一是来自Cosmos Asset Management资产管理公司的比特币交易所交易基金Cosmos Purpose Bitcoin Access ETF (CBTC) ,主要追踪多伦多证券交易所的Purpose Bitcoin ETF (BTCC-B.TO),Cosmos表示在上线后两个月内不会向投资者收取费用。另外两只基金由Australian ETFS Management (AUS) Ltd. 和Swiss 21Shares AG 推出,直接追踪进行现货BTC/ETH交易的标的资产。(forkast)[2022/5/12 3:09:19]

KyberSwap在BitTorrent Chain上的TVL突破1390万美元:据官方消息,KyberSwap在BitTorrent Chain上的TVL突破1390万美元。BitTorrent Chain 是行业异构链跨链互操作扩容协议,采用 POS(Proof of Stake)共识机制 ,通过侧链进行智能合约的扩展。首发支持 Ethereum 、TRON 、BNBChain 公链跨链,未来将逐步支持更多公链。[2022/5/5 2:52:40]

主流网络钓鱼攻击通常由一系列电子邮件配合构成,每封电子邮件都会逐渐获得受害者更多的信任。因此,对于第二、第三和第N封电子邮件,由于ChatGPT可以“记住”上下文的内容(用户输入)和情节(前项输出),因此它确实可以为网络犯罪分子节省大量撰写的时间。现阶段对于此类机器生成的文本内容,暂时还并没有很好的识别和侦测方法,对于这类“高仿真”的文本人类逐渐失去分辨能力。

美财政部将加密交易平台Chatex和两家勒索软件运营商加入制裁名单:金色财经报道,美国财政部与司法部今天宣布了对与勒索软件支付相关的加密货币交易平台Chatex的新制裁。美国财政部外国资产控制办公室(OFAC)已将Chatex以及附属实体IZIBITS OU、Chatextech SIA和Hightrade Finance Ltd加入其制裁名单。财政部表示,声称在多个国家开展业务的Chatex为多种勒索软件变体的交易提供了便利。对Chatex已知交易的分析表明,超过一半的交易直接追溯到非法或高风险活动,例如暗网市场、高风险交易所、和勒索软件。[2021/11/9 6:39:59]

法律风险分析

帮助信息网络犯罪活动罪

所谓帮信罪,全称是帮助信息网络犯罪活动罪(以下简称“帮信罪”),被规定于我国《刑法》第287条之二中,指的是明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。近年来,帮信罪呈井喷式发展,根据最高检2021年发布的前三季度全国检察机关主要办案数据。2021年的9个月里,全国检察机关起诉帮信罪同比增长21.3倍,起诉人数达79307人,从数量上看与危险驾驶罪、盗窃罪、罪并驾齐驱排名第四。2022年上半年则更为恐怖,仅仅6个月的时间,全国检察院就已起诉6.4万人,超过了罪的人数。

Argo Blockchain5月共挖出252枚比特币 受减半影响环比下降:伦敦上市挖矿公司Argo Blockchain公布了其5月运营数据。2020年5月,Argo Blockchaino共挖出了252枚比特币,相较于4月份挖出的319枚BTC有所减少,这使得今年前5个月开采的BTC总量达到1489个。本月挖矿产出减少的主要原因是区块奖励减半。根据当月的每日外汇汇率和加密货币价格,5月份的挖矿收入为193万英镑,较4月的180万英镑有一定提高。(ADVFN)[2020/6/3]

那么,一个关键的问题,如果自家开发的ChatGPT等AI工具被犯罪分子利用为上述犯罪工具,是否会构成帮信罪?先给答案:有可能。

先说帮信罪,在该罪的客观方面,法条明确规定行为人需要为上游利用信息网络实施犯罪活动的犯罪分子提供互联网接入、服务器托管、网络存储、通讯传输、支付结算等特定类型化的技术支持与帮助行为才能构成犯罪。因此,是否构成该罪有三个重点需要考虑:行为人提供帮助的上游犯罪行为是否是“利用信息网络实施的犯罪行为”?提供帮助的行为人是否“明知”他人正在实施犯罪?以及行为人是否为上游犯罪提供了技术、推广和资金结算方面的支持?

如前所述,如果犯罪分子利用ChatGPT等工具生成钓鱼邮件实施网络,即可被认定为“利用信息网络实施的犯罪行为”。那么我们接下来考虑,ChatGPT的运营方是否“明知”他人正在利用AI工具实施网络犯罪?在帮信罪的构成要件中,认定“明知他人利用信息网络实施犯罪”是重中之重,也争议最大。但是2019年两高发布《在关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》后,关于“明知”的认定迎刃而解,该司法解释第11条引入了推定的方法,列举了6种可以推定行为人明知他人犯罪的情形,除有相反证据证明否则直接可认定行为人主观上具备“明知”要件。六种情形我们就不一一例举,但用ChatGPT来说,如果实践中(1)经监管部门告知如果该AI被利用为犯罪工具后仍然实施有关行为;或(2)接到该AI被利用为犯罪工具的举报后不履行法定管理职责,即可被认定为ChatGPT的运营商“明知”他人正在利用自己开发的工具实施犯罪。

最后,使用ChatGPT生成可信度更高的网络文案或者生成推广文案,是否属于为上游犯罪提供了技术、推广、结算方面的支持?飒姐团对认为这个问题具有一定的争议,且由于目前尚未有可供参考的司法实践,我们不能给出一个绝对肯定的答案,因此还需要具体案件具体分析。但是,总的来说,如果ChatGPT生成的钓鱼软件可信度较高、推广文案非常容易吸引一般用户的注意,那么我们认为,在我国的司法实践中,大概率会将这种AI工具列入“提供技术帮助”或“推广帮助”的行为,运营者们务必警惕。

拒不履行信息网络安全管理义务罪

ChatGPT作为类似于信息发布、搜索引擎的网络服务提供者,需要履行信息网络安全管理义务。如果类似网络攻击类违法信息被监管部门要求责令整改,而平台无法提供有效的管理措施或技术措施来阻止该类信息传播,致使违法信息大量传播的,则可能涉嫌拒不履行网络安全管理义务。

致使违法信息大量传播的标准是很明确的,致使传播违法视频文件以外的其他违法信息二千个以上的,或者致使向二千个以上用户账号传播违法信息的,都算作大量传播。类似于OpenAI这样体量的公司很容易达到这个数额。且若有一个安全漏洞在ChatGPT等平台中广泛的被咨询,从而造成了大量的社会危害,容易被归为“造成严重后果”。但实际上,由于构成该罪需要运营方被监管部门要求责令整改后依然拒不整改才能构成,在司法实践中较为少见,因此总体来看风险与前述犯罪相比并不大。

写在最后

毫无疑问,ChatGPT可以减少网络安全专业人员/黑客的工作量。但就目前而言,除了机器效率,没有什么可以与人类的工作相提并论——后者仍然比这种人工智能技术更准确、更可靠。

ChatGPT可以作为网络安全行业积极正向的推动,也可以沦为黑客手中恶意攻击的辅助工具。平台方应该更好的安全措施和内容过滤机制来防止类似模型被用于恶意代码设计等网络攻击的实施。

飒姐团队提醒您,ChatGPT虽好,但是也是一把双刃剑。企业平在开发平台的过程中需要重视相关输出信息的筛选和过滤,事先提供明确的技术治理和救济机制,稍被不慎利用,便可能会有刑事风险缠身。

肖飒lawyer

个人专栏

阅读更多

金色早8点

金色财经

Arcane Labs

Odaily星球日报

欧科云链

澎湃新闻

深潮TechFlow

MarsBit

BTCStudy

链得得

标签:CHAHATCHATGPTRICHARDchat币还值得拥有吗chat币还值得拥有吗CHGPT

比特币热门资讯
ETA:加密行业的 360 卫士?盘点正在兴起的“防钓鱼插件”

1 月 28 日,Azuki 的 Twitter 账号被黑,导致其粉丝连接到钓鱼链接,超 122 枚 NFT 被盗,损失超过 78 万美元.

1900/1/1 0:00:00
WEB:中国概念币狂飙 神秘东方力量水分有多大

金色财经记者Jessy近日,神秘的东方力量在加密市场上再掀波澜。美国的加密监管进入了白热化阶段,香港方面则传出消息或将在今年六月允许公民参与加密货币交易.

1900/1/1 0:00:00
Kraken:频频重拳出击 SEC 监管行动将持续影响数字资产波动

撰文:Tom Dunleavy 和 Chris Collar,Messari 主要观点在没有数字资产立法的情况下.

1900/1/1 0:00:00
BIT:Arbitrum 生态系统指南:盘点值得密切关注的 13 个项目

作者:Thor Hartvigsen在过去的几周里,我深入研究了 100 多个 Arbitrrum 协议,总结出了 13 个值得密切关注的项目的路线图.

1900/1/1 0:00:00
RUG:黑客被项目方直接“人肉”?Arbitrum链上Hope项目发生180万美元Rug Pull简析

2月21日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Arbitrum链上Hope Finance项目发生Rug Pull.

1900/1/1 0:00:00
CHAT:试水ChatGPT 切不可以身家试法

在之前的文章(《热度“狂飙”的ChatGPT,亟待“合规刹车”》)中我们讨论了当红风头正盛的ChatGPT,分析了它的技术本质、应用场景和法律风险初探.

1900/1/1 0:00:00