美国政府最近发布了一份建议,警告用户注意 ChatGPT 的网络安全威胁,ChatGPT 是去年推出的人工智能 (AI) 写作工具。
这份建议书中警告说,尽管微软支持的人工智能工具 ChatGPT 自推出以来获得了“爆炸性”的普及,但它在网络钓鱼和恶意软件开发等主要网络威胁领域带来了重大风险。
该建议指出:“为了防止这种人工智能利用的威胁,必须积极主动地采取极其谨慎、尽职调查和应有谨慎的态度。”
它还分享了用户安全指南。
ChatGPT-恶意功能
以下是恶意行为者使用 ChatGPT 的若干种方法:
A、恶意软件生成:ChatGPT 生成恶意软件不再仅仅是理论上的可能性。它的使用已经受到关注,并在各种暗网论坛上进行讨论。
b、网络钓鱼电子邮件:ChatGPT 已展示出生成极其令人信服的网络钓鱼和鱼叉式网络钓鱼电子邮件的能力,这些电子邮件有可能通过电子邮件提供商的垃圾邮件过滤器。
C、诈骗网站:通过降低代码生成门槛,ChatGPT 可以帮助技能较低的威胁行为者轻松构建恶意网站,例如伪装和网络钓鱼登陆页面。例如,零技能或很少技能的恶意行为者可以使用 ChatGPT 克隆现有网站,然后对其进行修改、构建虚假电子商务网站或运行带有恐吓软件诈骗的网站等。
d、虚假信息活动:通过 ChatGPT,用户可以使用能够撰写极具说服力的散文、在短时间内生成数千条虚假新闻报道和社交媒体帖子的软件。
安全指南/预防措施
A、防范钓鱼邮件:
- 切勿打开未知、意外和/或可疑的电子邮件、链接和附件。
- 在*载下**任何附件(包括受信任的附件)之前,请使用电子邮件服务提供商提供的防病毒软件对其进行扫描。如果电子邮件服务不提供病毒扫描服务,则所有*载下**的文件在打开之前可能会使用本地防病毒软件进行扫描。
- 对所有计算设备(例如 PC、笔记本电脑、手机、可穿戴设备等)上的操作系统和软件应用程序应用更新。
- 在所有计算设备中使用信誉良好且值得信赖的防病毒/反恶意软件。
- 切勿在官方设备上使用个人帐户。
- 尽可能使用多重身份验证 (MFA)。
- 切勿与未经授权/可疑的用户、网站、应用程序等共享个人详细信息和凭据。
- 始终在浏览器中键入 URL,而不是单击链接。
- 始终使用 HTTPS 打开网站,避免访问 HTTP 网站。
B、反伪装指南
(1) 管理员
- 通过在操作系统、BIOS 和应用程序级别实施系统强化,最大限度地限制传入流量和用户权限。
- 通过系统强化来阻止未经授权的存储介质(例如 USB)。
- 经常格式化可移动媒体,以尽可能避免恶意软件的横向传播。
- (至少)通过文件哈希、文件位置、登录以及不成功的登录尝试进行检查来监视网络活动。
- 使用知名且值得信赖的反恶意软件、防病毒、防火墙、IPS、IDS、SIEM 解决方案。
- 对离线 LAN 和在线网络使用单独的服务器/路由。
- 根据需要允许特定用户访问互联网并限制数据使用/应用程序权限。
- *载下**之前通过数字代码签名技术验证软件和文档。
- 在邮件系统管理员控制和其他关键系统中实施 MFA(多重身份验证)。
- 始终定期维护关键数据的备份。
- 定期更改管理员级别的密码。
- 定期修补和更新所有操作系统、应用程序和其他技术设备。
- 为了减少恶意代码执行的攻击面;建议用户始终使用具有标准用户权限的帐户登录。
(2) 最终用户
- *载下**之前,请务必重新验证通过辅助方式(电话、短信、口头)发送电子邮件/附件的受信任用户。
- 立即向管理员报告任何可疑活动。
- 切勿将关键数据存储在在线系统上,而应将其存储在独立系统上。
(3) ChatGPT 用户指南
- 使用 ChatGPT 时,请注意共享的信息。避免共享敏感或机密信息,例如密码、财务信息或个人详细信息。
- 谨慎对待链接和附件。ChatGPT 可能会提供链接或附件作为其答案的一部分,但在单击它们之前请务必小心谨慎。请务必验证链接或附件的来源,并谨防可疑/未知来源。
- 政府机构工作人员手机不得用于 ChatGPT。
(4) 如果在使用ChatGPT时遇到安全问题,请立即向Open AI报告。
预防所有政府部门的虚假信息活动
各部门应采取以下措施作为预防措施:
- 定期安排宣传活动和培训。
- 始终尝试验证来自多个来源的信息。
参考链接: https://www.thenews.com.pk/latest/1088379-warning-for-those-using-chatgpt