資安廠商 SlashNext 發現有駭侵者推出專門用於進行釣魚與惡意軟體投放攻擊的 AI 聊天機器人，分別採用最新的 ChatGPT 與 Google Bard AI 技術來訓練。

SlashNext 旗下的資安研究人員，在 7/25 發現一個自稱為 CanadianKingpin12 的駭侵者，於多個駭侵相關論壇上刊登廣告，推廣其用於進行網路詐騙、駭侵攻擊與垃圾訊息發送專用的 AI 聊天機器人 FraudGPT。

在進一步追蹤後，SlashNext 的資安研究人員證實 CanadianKingpin12 很早就開始利用在暗網上出售的各種駭侵資料集，以 ChatGPT 和 Google Bard 等大型語言模型（Large Language Model, LLM）來訓練自己的 AI 聊天機器人 DarkBART；研究人員也發現 CanadianKingpin12 也利用韓國研究人員研發的另一個大型語言模型，來訓練另一個 AI 聊天機器 DarkBERT。

根據 CanadianKingpin12 的說詞，DarkBERT 在各種運用暗網資料來訓練的 AI 駭侵工具中，可說是功能最強大的一款，可以用來進行以下攻擊：

• 發動成熟的釣魚攻擊活動，用以取得目標對象的密碼與信用卡資訊；
• 執行先進的社交工程攻擊，以取得機敏資訊或目標系統的登入權限；
• 利用電腦系統、軟體或網路的資安漏洞加以攻擊；
• 製作並散布惡意軟體；
• 利用 0-day 漏洞來獲得不法所得，或破壞目標系統。

SlahNext 指出，這兩個 AI 惡意聊天機器人的開發時程都不到一個月就完成推出，由此可見 AI 的濫用，即將成為資安防護與網路犯罪令人頭痛的嚴重問題。

建議資安研究與防治單位應加強研究如何偵測並防範由 AI 執行的各種惡意攻擊手法，擁有 LLM 等先進 AI 技術的大型科技公司，亦應加強防範其工具遭到濫用於資安攻擊之上。