Trí tuệ nhân tạo Viết Email Lừa Đảo Tốt Hơn Con Người Trong Một Thử Nghiệm Gần Đây

Xử lý ngôn ngữ tự nhiên tiếp tục xuất hiện ở những nơi không ngờ đến. Lần này, đến lượt email lừa đảo. Trong một nghiên cứu nhỏ, các nhà nghiên cứu phát hiện rằng họ có thể sử dụng mô hình ngôn ngữ học sâu GPT-3, cùng với các nền tảng AI-dưới-dạng-dịch-vụ khác, để đáng kể giảm rào cản cho việc tạo ra các chiến dịch spearphishing với quy mô lớn. 

Các nhà nghiên cứu đã lâu đã tranh luận xem liệu có đáng để kẻ lừa đảo đầu tư công sức để huấn luyện các thuật toán học máy có thể tạo ra các thông điệp lừa đảo hấp dẫn. Sau cùng, các thông điệp 'spearphishing' cá nhân hóa và nhắm mục tiêu đòi hỏi nhiều công sức hơn để soạn thảo. Đó là nơi mà NLP có thể đến rất hữu ích.

Tại các hội nghị an ninh Black Hat và Defcon ở Las Vegas tuần này, một đội ngũ từ Cơ quan Công nghệ Chính phủ của Singapore đã trình bày một thử nghiệm gần đây trong đó họ đã gửi email lừa đảo có mục tiêu mà họ tự soạn thảo và những email được tạo bởi một nền tảng AI-dưới-dạng-dịch-vụ đến 200 đồng nghiệp của họ. Cả hai thông điệp đều chứa các liên kết không phải độc hại nhưng chỉ đơn giản là báo cáo tỷ lệ nhấp vào liên kết cho các nhà nghiên cứu. Họ đã ngạc nhiên khi phát hiện ra rằng có nhiều người nhấp vào các liên kết trong các thông điệp được tạo bởi AI hơn là những thông điệp do con người viết - với một khoảng cách đáng kể.

“Các nhà nghiên cứu đã chỉ ra rằng Trí tuệ nhân tạo đòi hỏi một mức độ chuyên môn. Để huấn luyện một mô hình thực sự tốt, cần hàng triệu đô la,” nói Eugene Lim, một chuyên gia an ninh mạng của Cơ quan Công nghệ Chính phủ. “Nhưng một khi bạn đưa nó vào dịch vụ Trí tuệ nhân tạo, nó chỉ tốn vài xu và rất dễ sử dụng—chỉ cần nhập văn bản, đầu ra là văn bản. Bạn thậm chí không cần chạy mã, bạn chỉ cần đưa ra một yêu cầu và nó sẽ đưa ra kết quả. Vì vậy, điều này giảm rào cản đối với một đối tượng lớn hơn nhiều và tăng số lượng mục tiêu tiềm năng cho spearphishing. Đột nhiên, mọi email trên quy mô lớn có thể được cá nhân hóa cho mỗi người nhận.”

Các nhà nghiên cứu đã sử dụng nền tảng GPT-3 của OpenAI kết hợp với các sản phẩm AI-dưới-dạng-dịch-vụ khác tập trung vào phân tích tính cách để tạo ra các email lừa đảo phù hợp với nền tảng và đặc điểm của đồng nghiệp. Trí tuệ nhân tạo tập trung vào phân tích tính cách nhằm dự đoán sở thích và tâm lý của một người dựa trên các đầu vào hành vi. Bằng cách chạy các đầu ra qua nhiều dịch vụ, các nhà nghiên cứu đã phát triển một đường ống chuyển tiếp đã điều chỉnh và tinh chỉnh email trước khi gửi đi. Họ nói rằng kết quả nghe “kỳ lạ giống con người” và các nền tảng tự động cung cấp thông tin cụ thể, như đề cập đến luật Singapore khi được hướng dẫn tạo nội dung cho người sống tại Singapore.

Mặc dù họ ấn tượng với chất lượng của các tin nhắn tổng hợp và số lượng nhấp chuột mà chúng thu hút từ đồng nghiệp so với những thông điệp được viết bởi con người, các nhà nghiên cứu lưu ý rằng thử nghiệm chỉ là bước đầu tiên. Kích thước mẫu khá nhỏ và nhóm mục tiêu tương đối đồng nhất về việc làm và khu vực địa lý. Ngoài ra, cả các tin nhắn được tạo ra bởi con người và bằng cách sử dụng đường ống dịch vụ AI chỉ được tạo ra bởi những người nội bộ văn phòng thay vì những kẻ tấn công từ xa cố gắng tạo ra sự khớp nhất đúng đắn.

“Có rất nhiều biến số cần tính toán,” nói Tan Kee Hock, một chuyên gia an ninh mạng của Cơ quan Công nghệ Chính phủ.

Tuy nhiên, những kết quả này đã thúc đẩy các nhà nghiên cứu suy nghĩ sâu hơn về cách mà AI-dưới-dạng-dịch-vụ có thể đóng vai trò trong các chiến dịch lừa đảo và spearphishing trong tương lai. Chính OpenAI, ví dụ, đã lâu đã lo ngại về tiềm năng sử dụng sai mục đích của dịch vụ của chính mình hoặc các dịch vụ tương tự khác. Các nhà nghiên cứu lưu ý rằng OpenAI và những nhà cung cấp AI-dưới-dạng-dịch-vụ cẩn thận khác có các nguyên tắc ứng xử rõ ràng, cố gắng kiểm tra nền tảng của họ để phát hiện hoạt động có thể gian lận, thậm chí cố gắng xác minh danh tính người dùng đến một mức độ nào đó.

“Sử dụng sai mô hình ngôn ngữ là một vấn đề rộng rãi trong ngành mà chúng tôi coi rất nghiêm túc như một phần của cam kết triển khai AI một cách an toàn và có trách nhiệm,” OpenAI nói với Mytour trong một tuyên bố. “Chúng tôi cấp quyền truy cập vào GPT-3 thông qua API của chúng tôi, và chúng tôi xem xét mọi việc sử dụng GPT-3 trước khi đi vào hoạt động. Chúng tôi áp dụng các biện pháp kỹ thuật, như giới hạn tỷ lệ, để giảm khả năng và tác động của việc sử dụng gian lận bởi người dùng API. Hệ thống giám sát hoạt động của chúng tôi và kiểm tra định kỳ được thiết kế để phát hiện các dấu hiệu tiềm ẩn của việc sử dụng sai mục đích ở giai đoạn sớm nhất có thể, và chúng tôi liên tục làm việc để cải thiện độ chính xác và hiệu quả của các công cụ an toàn của chúng tôi.”

OpenAI thực hiện các nghiên cứu của riêng mình về các biện pháp chống lạm dụng và các nhà nghiên cứu của Cơ quan Công nghệ Chính phủ đã thông báo với công ty về công việc của họ.

Tuy nhiên, các nhà nghiên cứu nhấn mạnh rằng trong thực tế có sự căng thẳng giữa việc theo dõi các dịch vụ này để phòng ngừa lạm dụng tiềm ẩn và việc thực hiện giám sát xâm nhập vào người dùng nền tảng hợp pháp. Và điều phức tạp hơn nữa là không phải tất cả các nhà cung cấp AI-dưới-dạng-dịch-vụ quan tâm đến việc giảm bớt việc sử dụng lạm dụng của nền tảng của họ. Một số cuối cùng có thể thậm chí phục vụ cho những kẻ lừa đảo.

“Thực sự điều làm chúng tôi ngạc nhiên là việc dễ dàng để truy cập vào những API AI này,” Lim nói. “Một số như OpenAI rất nghiêm ngặt và nghiêm khắc, nhưng các nhà cung cấp khác lại cung cấp thử nghiệm miễn phí, không xác minh địa chỉ email của bạn, không yêu cầu thẻ tín dụng. Bạn có thể tiếp tục sử dụng các phiên thử nghiệm mới và tạo ra nội dung. Đó là một tài nguyên công nghệ cao mà các đối tác có thể dễ dàng tiếp cận.”

Các khung chính sách quản trị AI như những khung chính sách đang được phát triển bởi chính phủ Singapore và Liên minh Châu Âu có thể hỗ trợ các doanh nghiệp trong việc đối phó với việc lạm dụng, các nhà nghiên cứu cho biết. Nhưng họ cũng tập trung một phần của nghiên cứu của mình vào các công cụ có thể phát hiện các email lừa đảo tổng hợp hoặc được tạo ra bởi AI - một chủ đề khó khăn cũng thu hút sự chú ý khi deepfakes và tin tức giả được tạo ra bởi AI ngày càng phổ biến. Các nhà nghiên cứu một lần nữa sử dụng các mô hình ngôn ngữ học sâu như GPT-3 của OpenAI để phát triển một khung cơ bản có thể phân biệt văn bản được tạo ra bởi AI so với văn bản do con người sáng tạo. Ý tưởng là xây dựng các cơ chế có thể đánh dấu phương tiện tổng hợp trong email để dễ dàng bắt các thông điệp lừa đảo có thể được tạo ra bởi AI.

Tuy nhiên, các nhà nghiên cứu lưu ý rằng khi phương tiện tổng hợp được sử dụng cho nhiều chức năng hợp lệ hơn, như giao tiếp dịch vụ khách hàng và tiếp thị, việc phát triển các công cụ lọc chỉ đánh dấu thông điệp lừa đảo sẽ trở nên khó khăn hơn.

“Phát hiện email lừa đảo quan trọng, nhưng cũng chỉ cần chuẩn bị cho các tin nhắn có thể vô cùng hấp dẫn và cũng rất thuyết phục,” chuyên gia an ninh mạng của Cơ quan Công nghệ Chính phủ, Glenice Tan, nói. “Vẫn còn một vai trò cho việc đào tạo an ninh. Hãy cẩn thận và duy trì tính hoài nghi. Thật không may, những điều này vẫn là những điều quan trọng.”

Khi nghệ sĩ nội dung công nghệ Timoti Lý nhấn mạnh, sự mô phỏng con người tuyệt vời của email lừa đảo do trí tuệ nhân tạo tạo ra đối với việc gửi thư cá nhân làm cho thách thức vẫn giống như những gì ở cấp độ nguy hiểm ngày càng cao.

“Họ vẫn chỉ cần làm đúng một lần, không quan trọng nếu bạn nhận được hàng nghìn tin nhắn lừa đảo viết theo nhiều cách khác nhau," Lý nói. "Chỉ cần một cái bắt bạn bất ngờ — và bùng nổ!”

Nhiều Bài Viết Tuyệt Vời Trên Mytour

• 📩 Cập nhật mới nhất về công nghệ, khoa học và hơn thế nữa: Nhận bản tin của chúng tôi!
• Khi dịch bệnh động vật tiếp theo xảy ra, liệu phòng thí nghiệm này có thể ngăn chặn được không?
• Empathy đối với chuột có thể tiết lộ điều gì về lòng trắc ẩn của con người?
• Đang gặp khó khăn trong việc tuyển dụng, cảnh sát chuyển sang quảng cáo có đối tượng
• Những trò chơi này đã giúp tôi yêu thích quá trình grind miễn phí
• Hướng dẫn về RCS, và tại sao nó làm cho việc nhắn tin trở nên tốt hơn nhiều
• 👁️ Khám phá trí tuệ nhân tạo như chưa bao giờ có với cơ sở dữ liệu mới của chúng tôi
• 🎮 Mytour Games: Nhận những mẹo mới nhất, đánh giá và nhiều hơn nữa
• 📱 Bị lưỡng lự giữa các điện thoại mới nhất? Đừng lo — hãy xem hướng dẫn mua iPhone của chúng tôi và điện thoại Android ưa thích của chúng tôi