“给 AI 讲故事”就能绕过安全机制,恶意代码编写门槛恐将大幅降低
GoodNav 3 月 19 日报道,来自外媒 TechRadar 的消息称,Cato CTRL 的威胁情报研究人员发出警告,尽管他们没有编写恶意软件的经验,但成功攻破了多个大型语言模型(LLM),它们包括 ChatGPT-4o、DeepSeek-R1、DeepSeek-V3等,所采用的技术手段几乎可以说是“天方夜谭”。
研究团队研发出一种名为“沉浸式世界”(Immersive World)的新型攻击策略,通过“叙述式工程”来绕过 LLM 的安全防护。这一方法通过构建一个极为详尽的虚拟世界,使得受限制的操作显得合乎逻辑,最终开发出一个“完全有效”的 Chrome 信息窃取程序。
据了解,近年来信息窃取恶意软件迅猛增长,已成为网络犯罪分子最为致命的工具之一。而这种新型攻击方式显示,即使没有技术背景的网络犯罪分子现在也能轻易编写恶意代码。
报告中指出,大语言模型“彻底改变了网络安全领域”。研究表明,人工智能驱动的网络威胁正成为企业和安全团队面临的一大挑战,使得攻击手法愈加复杂,且实施频率提高,对攻击者的技术要求则更低。
虽然聊天机器人设有多重安全防护机制,但 AI 的设计本质上是尽量满足用户需求。研究人员成功利用这一特征,越过限制,使得 AI 智能体能够轻松编写并发送网络钓鱼攻击。
Cato Networks 的威胁情报研究员维塔利・西蒙诺维奇表示:“零知识威胁行为者的出现,对企业安全造成了严重的威胁,因为生成式 AI 工具使恶意软件的制作变得前所未有地简单。”
“信息窃取程序现已成为盗取企业凭证的关键工具。我们新发现的 LLM 越狱技术——‘沉浸式世界’,清晰地展示了创建信息窃取程序的高风险性和可行性。”
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
暂无评论...