報告によると、自称初心者が、 ChatGPT プロンプトだけを使用して、数時間以内に強力なデータ マイニング マルウェアを作成したとのことです。
Forcepoint のセキュリティ研究者である Aaron Mulgrew 氏は、最近、 OpenAI の生成チャットボット のみを使用してゼロデイ マルウェア を作成した方法を共有しました 。 OpenAI には、ChatGPT に悪意のあるコードの作成を依頼しようとする者に対する保護機能がありますが、マルグルー氏はチャットボットに機能ごとに悪意のあるコードの個別の行を作成するよう促すことで 抜け穴を発見しました 。
個々の関数をコンパイルした後、マルグルーは、ほぼ検出不可能なデータ窃取実行可能ファイルを自分の手で作成していました。そして、これはありふれたマルウェアでもありませんでした。このマルウェアは、あらゆる国家攻撃と同じくらい洗練されており、検出ベースのベンダーをすべて回避することができました。
同様に重要なのは、マルグルーのマルウェアが、構築にハッカーのチーム (そしてほんの一部の時間とリソース) を必要としないという点で、「通常の」国民国家の反復をどのように遅らせているかです。マルグルー自身はコーディングを一切行わなかったが、通常は数週間かかるところを、わずか数時間で実行可能ファイルを完成させた。
Mulgrew マルウェア (素敵な響きですね) は、スクリーンセーバー アプリ (SCR 拡張機能) に偽装し、Windows 上で自動的に起動します。次に、ソフトウェアはファイル (画像、Word ドキュメント、PDF など) をふるいにかけてデータを盗み出します。印象的なのは、マルウェアが(ステガノグラフィーを通じて)盗んだデータをより小さな断片に分解し、コンピューター上の画像内に隠すことです。これらの画像は、検出を回避する手順として Google ドライブ フォルダーにアップロードされます。
同様に印象的なのは、Mulgrew が ChatGPT の単純なプロンプトを使用してコードを改良し、検出に対して強化することができたことです。これにより、 ChatGPT がどの程度安全に使用できるかという疑問が 生じました。初期の VirusTotal テストを実行したところ、69 の検出製品のうち 5 つでマルウェアが検出されました。その後、彼のコードの新しいバージョンはどの製品でも検出されませんでした。
Mulgrew が作成したマルウェアはテストであり、一般には公開されていないことに注意してください。それにもかかわらず、彼の研究は、高度なコーディング経験がほとんどないユーザーが、コードを 1 行も入力することなく、ChatGPT の弱い保護を簡単に回避して、危険なマルウェアを簡単に作成できることを示しています。
しかし、ここがこのすべての恐ろしい部分です。この種のコードは通常、コンパイルに大規模なチームで数週間かかります。私たちが話している間に、極悪非道なハッカーがすでに ChatGPT を通じて同様のマルウェアを開発していたとしても、私たちは驚かないでしょう。