谷歌威胁情报小组(GTIG)已阻止了一个旨在绕过某开源管理工具双因素认证的零日漏洞利用程序。研究人员发现,网络犯罪行为人正计划发动大规模攻击,而涉及人工智能的线索包括一个虚构的CVSS评分以及高度结构化的文本格式。
漏洞利用程序与语言模型的痕迹 🧠
GTIG的分析师发现,该恶意代码利用了一个未知漏洞来绕过两步验证。引起注意的是其中出现了一个虚构的CVSS评分,这是语言模型在生成未经验证数据时的典型错误。此外,与该漏洞利用程序相关的技术报告格式在结构和措辞上与AI助手的输出极为相似,这使研究人员得出结论:人工智能参与了其开发过程。
连ChatGPT都没通过安全考试 🤖
看来网络犯罪行为人曾向AI求助以创建他们的漏洞利用程序,但助手却返回了一份带有虚构风险评分的报告。也就是说,AI帮他们完成了工作,但作业却是编造的。幸好谷歌及时发现了这一点,否则这款开源工具要抵御这场数字混乱,恐怕需要的可不仅仅是简单的验证码了。