今天是 2025 年 11 月 3 日,Blue Monday,我今天要去基隆。出發前先跟大家講一個你一定喜歡聽,而且聽了會害怕的事。
那是什麼?鬼故事嗎?喔....也差不多啦,真正恐怖啦....
好,開始。OpenAI,大家知道嗎?就是ChatGPT那一家公司,他在10月7號發表了一篇名為Disrupting malicious uses of AI: October 2025的研究報告。他裡面說,不要以為我們不知道,我們其實都知道,我們有發現啊,有人最近有在利用我們家的AI,也就是ChatGPT做壞事。這一篇Paper裡面講了很多則案例,都非常精彩,我想分兩天跟大家報告,喜歡聽的請舉手。好,很好,沒有人舉手,但是我還是要講
第一則案例,是一群使用俄羅斯文字的犯罪集團,他們使用多個帳號在跟ChatGPT問問題。他們可能是想要寫出完美的惡意程式,包括可以遠端存取他人電腦的木馬程式、可以竊取密碼的軟體,以及可以躲過安全偵測的程式碼。
不過,這些駭客發現了一個大問題,就是AI模型有安全防護,不會幫他們生成惡意程式碼。於是,他們就換個方式,將惡意程式化整為零,將整個惡意軟體的開發過程分解成一個個單一的、看起來不像惡意的程式小模組。AI 模型不疑有他,就會提供程式碼修改或部署的指導。然後,這些駭客就將這些片段的程式模組自行組裝起來,然後就有機會可以組成一個完整的惡意程式,用在竊取加密資料、數位憑證,並且躲進電腦裡,偷偷摸摸的偷資料。
這個故事就是說,這群俄語區的網路犯罪份子就像在玩一場「程式碼拼圖」。AI不會笨到直接給他們可以偷資料的萬能鑰匙,但是,駭客的確利用AI的善意輔助,讓他們在開發惡意程式的時候,變得更快速、更有效率。
第二則案例,是一群使用韓語的壞蛋,他們也是註冊了一堆ChatGPT帳戶。從他們的時區及對話內容判斷,非常可能就是來自於北韓的駭客。
OpenAI說,他們就好像一支分工明確的團隊,他們的目標是想要開發出惡意軟體 (也就是駭客程式) 並且寫出一套可以控制這些駭客程式的「指揮與控制」系統。
那麼,他們是怎麼用 AI 呢?
他們是把 AI 當作顧問。他們的工作流程非常有組織。你會發現他們的帳戶往往在固定的時間活躍 (就好像是有上下班的排班),而且,每個帳戶都只專心跟AI討論一個特定的技術難題。
同時,他們也把 AI 當作文案助手。他們要求模型用韓文寫出網路釣魚郵件的草稿。這些郵件的內容非常具有針對性,通常會圍繞著敏感主題,例如:加密貨幣啦,或者偽裝成政府或金融服務商發出的正式通知,試圖引誘受害者上鉤。
整個來說,這群壞蛋是利用 AI 來加速並且優化他們的不法勾當,並且,他們的行為模式非常專業化,表明他們正在有組織、有目的性地將 AI 整合到他們的網路間諜活動中。
如果前面這兩個案例,你聽起來覺得不痛不癢的話,接下來,你一定會聽到背脊發涼、頭皮發麻。因為,那是一群正在為中華人民共和國提供情報需求的駭客在運用ChatGPT做攻擊。他們的目標非常明確,就是鎖定在臺灣的半導體產業、美國的學術界和智庫,以及在批評中國共產黨政治團體和族群。OMG, OMG,有感覺到背脊發涼、頭皮發麻了嗎?
他們很聰明,不是用AI在發明新的攻擊方法,而是在找更有效率,讓一切做到自動化的作法。他們的網路釣魚手法非常公式化且細膩。他們會要求 AI 模型生成很多種語言的釣魚內容,包括簡體中文、繁體中文、英文和日文。
他們非常重視郵件內容的品質。要求 AI 寫出簡潔、正式,而且有禮貌的電子郵件,假冒成學術界、業界或會議主辦方的人士。並且很重視微調郵件的語氣、使用台灣人用的詞彙,來騙我們上當。更值得注意的是,這些駭客還利用 ChatGPT 來研究進一步的自動化。他們問 ChatGPT 如何透過另一個AI模型,也就是 DeepSeek,來幫他們做到大規模的全自動化釣魚。他們想辦法生出電子郵件對象清單,並且針對每一個攻擊目標,可能是你,可能是我,寫出他們可能感興趣的內容,然後又使你點擊連結,他就住到你的電腦裡,神不知,鬼不覺的,慢慢將電腦裡面資料偷走,哇哩勒,兄弟姐妹啊,大家要小心啊。
好啦,我要去基隆了。再見!
