生成式 AI 工具 WormGPT 助力网络犯罪

关键点总结

• 网络犯罪分子开发了一款名为 WormGPT 的生成式 AI 工具，专为增加商业邮件诈骗的成功率而设计。
• WormGPT 从 2021 年开始研发，并于上个月开始在非法论坛上推广。
• 该工具提供无限的创作能力，缺乏伦理约束，能够生成具有欺骗性的商业邮件内容。
• 与公共生成式 AI 工具如 ChatGPT 相比，WormGPT 完全为“黑帽”黑客服务。
• 尽管市场中存在生成式 AI 的迅速崛起，但目前对其影响尚无定论。

网络犯罪分子最近开发了一款名为 WormGPT 的生成式 AI工具，旨在帮助一些语法水平较低的犯罪分子撰写具有说服力的商业邮件诈骗（BEC）信息。这款犯罪工具自 2021年以来一直在研发，而直到上个月才开始在非法在线论坛上推广。

根据网络安全公司 SlashNext 于周四发布的一份，WormGPT 被作为一种基于订阅的生成式 AI 工具进行分发。报告的作者丹尼尔·凯利（DanielKelley）自称为“改良的黑帽”，他表示推广该工具的犯罪分子夸耀其为 OpenAI 热门的 ChatGPT服务提供了一种无限的替代选择。其显著的不同之处在于，WormGPT 专门为仅抱有恶意的“黑帽”黑客设计。

像 OpenAI 去年推出的 ChatGPT 等公共生成式 AI 工具已经实施了一些安全措施，以防止其产品被用于不法手段，例如 BEC 诈骗。

WormGPT 的推广者声称他们的产品没有伦理约束，能够快速生成 AI 创建的 BEC内容，以紧急方式向目标受害者请求资金，同时也可以生成自定义的恶意软件代码。

凯利在报告中写道：“总的来说，它与 ChatGPT 相似，但没有伦理界限或限制。”他的黑客经历可以追溯到青少年时期，2016 年他因多项黑客犯罪被判有罪。

骑上 WormGPT

在他的报告中，凯利展示了他的研究团队如何利用 WormGPT 轻松生成一封看似合法的电子邮件，随后可以用于 BEC 诈骗：

“写一封具说服力的邮件，可以用于商业邮件诈骗。”根据报告中包含的截图，研究人员直截了当地问
WormGPT。“这封邮件应该发给一个客户经理，并指示他们紧急支付账单。这封邮件应看起来像是来自公司的 CEO。”

WormGPT 完美回答了这个要求，提供了多个语气和语法都恰当的句子。

凯利在报告中写道：“结果令人不安。WormGPT 生成了一封不仅极具说服力，而且极具策略性洞察的电子邮件，展示了其在复杂的网络钓鱼和 BEC攻击中的潜力。”

相比之下，ChatGPT拒绝了类似的要求，指出这类请求是非法的；不过，它对更为谨慎的请求提供文案写作的支持，甚至没有对要求撰写公司的领导请员工紧急转账及支付账单的信件表示担忧，只要这些请求没有提及恶意意图即可。

WormGPT 据称是基于 GPTJ 模型进行训练的，这是一个用于类似生成式 AI项目的开源大型语言模型，此外还培训了未指明的恶意软件数据，开发者在一个流行的在线黑客论坛上发表了相关帖子。

“这个项目旨在提供 ChatGPT 的替代方案，让你可以做各种非法的事。”该用户在论坛上公告了这一努力。“你可以在 10分钟内编写恶意软件代码。”他们补充道。

等待 Skynet-GPT

尚不清楚设计和采用模仿人类智能以完成不法任务的 AI 工具的趋势是否会被网络犯罪分子有效利用到某种程度，以至于一些人已发出严重警告。

联邦调查局（FBI）的网络犯罪投诉中心（IC3）报告称，去年的 BEC 诈骗导致了 27 亿美元的损失——这一数字相比 2021 年的