儘管有"複雜的"防護措施,AI基礎設施公司Anthropic表示,網路犯罪分子仍在尋找方法濫用其AI聊天機器人Claude來實施大規模網路攻擊。
在週三發布的"威脅情報"報告中,Anthropic威脅情報團隊成員Alex Moix、Ken Lebedev和Jacob Klein分享了幾起犯罪分子濫用Claude聊天機器人的案例,其中一些攻擊要求超過50萬美元的贖金。
他們發現,該聊天機器人不僅被用來向犯罪分子提供技術建議,還通過"Vibe Hacking"直接代表他們執行駭客攻擊,使他們僅憑程式設計和加密的基礎知識就能實施攻擊。
今年2月,區塊鏈安全公司Chainalysis預測,由於生成式AI使攻擊更具可擴展性且成本更低,加密貨幣詐騙可能在2025年迎來最嚴重的一年。Anthropic發現一名駭客一直在使用Claude進行"Vibe Hacking",從至少17個組織竊取敏感數據——包括醫療保健、緊急服務、政府和宗教機構——勒索要求從7.5萬美元到50萬美元比特幣不等。
該駭客訓練Claude評估被盜的財務記錄,計算合適的勒索金額,並撰寫定制勒索信以最大化心理壓力。
雖然Anthropic後來封禁了該攻擊者,但這一事件反映了AI如何讓即使是最基礎的程式設計人員也能"前所未有地"輕鬆實施網路犯罪。
"無法獨立實現基本加密或理解系統調用機制的行為者現在成功地創建了具有規避能力的勒索軟體,並實施了反分析技術。"
北韓IT工作者也在使用Anthropic的Claude
Anthropic還發現,北韓IT工作者一直在使用Claude偽造令人信服的身份,通過技術程式設計測試,甚至在美國財富500強科技公司獲得遠程職位。他們還使用Claude為這些職位準備面試回答。
Anthropic表示,Claude還被用於在被聘用後進行技術工作,並指出這些就業計畫旨在儘管面臨國際制裁,仍將利潤輸送給北韓政權。
本月早些時候,一名北韓IT工作者被反駭客攻擊,發現一個六人團隊至少共享31個虛假身份,獲得從政府身份證件和電話號碼到購買LinkedIn和UpWork帳戶的一切,以掩蓋其真實身份並獲得加密貨幣工作。
其中一名工作者據稱面試了Polygon Labs的全端工程師職位,而其他證據顯示了腳本化的面試回答,他們聲稱在NFT市場OpenSea和區塊鏈預言機供應商Chainlink有工作經驗。
Anthropic表示,其新報告旨在公開討論濫用事件,以協助更廣泛的AI安全和安保社群,並加強整個行業對AI濫用者的防禦。
該公司表示,儘管實施了"複雜的安全和安保措施"來防止Claude被濫用,惡意行為者仍在繼續尋找繞過這些措施的方法。