隨著生成式AI工具如雨後春筍般出現,任何人都可以用ChatGPT生成Python腳本,甚至不需要太懂程式語言。這種現象被戲稱為「vibe coding」,而資安專家Katie Moussouris則警告,下一步就是「vibe hacking」——讓任何人都能隨手創建攻擊工具。
在不久的將來,一名黑帽駭客可能就能同時在全球各地發動 20 起零時差漏洞攻擊。以生成式AI為基礎的變異型惡意軟體,將能自我學習、重寫程式碼並快速適應環境;而毫無程式背景的「腳本小孩」們,也可能透過專門設計的大型語言模型(LLM),一鍵釋出大量惡意程式碼。
事實上,已有AI系統在知名漏洞懸賞平台HackerOne的排行榜上名列前茅。這款名為XBOW的AI工具,據稱能「自動發現並利用75%的網站安全漏洞」,這類AI工具原本為白帽駭客設計,卻也揭示黑帽駭客如何運用AI放大攻擊規模的可能性。
資安業界普遍憂慮AI協助駭客的潛力。Hunted Labs共同創辦人Hayden Smith形容現狀為:「就像飛機已經響起緊急降落的廣播聲『Brace, brace, brace』,但我們還沒真正墜地。」他認為真正的「AI資安災難」尚未發生,但風暴已在醞釀。
事實上,早在2023年,像WormGPT這樣專為黑帽用途打造的語言模型就已在Discord與Telegram等地下社群流傳。雖然WormGPT最終遭下架,但後續如FraudGPT等仿品接連出現。這些工具有些只是被越獄的主流模型,但對駭客而言,「回到源頭」使用ChatGPT、Claude或Gemini進行微調與繞路,反而更有效。
「繞道請求」可輕易破解內建審核機制
許多模型雖內建安全防線,卻很容易透過「角色扮演」技巧被繞過。例如你只要假裝自己是參加CTF資安競賽的選手,ChatGPT就可能乖乖輸出PowerShell惡意腳本。這種「繞道請求」成為繞開濾網的標準套路。
資安專家普遍指出,真正的威脅並非AI自己變成駭客,而是當AI成為老練駭客的加速器。Hunted Labs創辦人Hayden Smith指出,有經驗的攻擊者能將AI整合進攻擊流程,讓過去需耗時數日的任務縮短為30分鐘。他甚至警告,未來某天可能會出現「同時爆發20起零時差攻擊」的災難性事件。
雖然目前AI尚無法完全取代人類駭客,但結合人力與AI的「協作式攻擊」已成為業界不得不防的重大挑戰。如資安顧問Katie Moussouris所言:「AI只是工具,真正可怕的是那些知道如何駕馭工具的人。」
- 新聞來源:wired
- 延伸閱讀:資安專家開發假冒防毒程式以關閉 Microsoft Defender,曝光讓Windows處於不設防狀態風險
- 延伸閱讀:資安威脅升溫私有雲部署成企業首選,GECP平台需求激增
- 延伸閱讀:Check Point 最新資安威脅報告指出,台灣每週遭受攻擊次數高居亞太之冠、科技品牌成釣魚攻擊重災區
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!