🛡️ **AI驱动的身份伪造与网络钓鱼**：朝鲜黑客组织Kimsuky利用ChatGPT生成高度逼真的伪造韩国政府和军事人员身份证件。这些伪造证件被嵌入网络钓鱼邮件中，伪装成来自官方机构的通信，以欺骗目标机构的雇员，从而窃取敏感信息和访问其系统。

💡 **提示词工程与AI的规避**：尽管ChatGPT通常会拒绝生成官方证件的请求，但研究人员发现攻击者通过将请求表述为“模拟”或“样本设计”，巧妙地操纵了提示词，成功绕过了AI的安全限制，生成了所需的伪造图像。这表明生成式AI在面对精心设计的输入时，仍可能被用于恶意目的。

🌐 **朝鲜IT工作者的AI身份伪装**：除了网络钓鱼活动，研究还记录了朝鲜IT工作者利用AI生成虚假简历和在线身份，以获取海外工作机会。一旦受雇，他们会继续利用AI协助完成技术面试和工作任务，这凸显了AI在支持国家支持的规避制裁和情报收集活动中的多重应用。

⚠️ **生成式AI的滥用风险**：此事件敲响了警钟，表明生成式AI技术可能被滥用，以较低的技术门槛创造出极其逼真的伪造品。这给信息安全带来了新的挑战，要求加强对AI生成内容的鉴别能力和安全防护措施。

HackerNews 编译，转载请注明出处：

研究人员发现，朝鲜黑客利用OpenAI的ChatGPT生成伪造的军事证件，作为针对韩国国防相关机构的网络钓鱼活动的一部分。

2024年7月的攻击被归因于Kimsuky组织，也被称为APT43。该组织因通过情报收集行动支持平壤的外交政策和规避制裁的努力，已被华盛顿及其盟友制裁。

据韩国网络安全公司Genians称，黑客利用ChatGPT创建韩国政府和军事人员证件的样本图像。这些图像被嵌入到网络钓鱼邮件中，这些邮件被设计得看起来像是来自韩国国防部处理军事官员证件服务的合法机构。

这些邮件附带了一张伪造的身份证和恶意软件，使攻击者能够窃取数据并远程访问受害者的系统。

研究人员表示，通过对图像的元数据分析确认这些图像是使用ChatGPT生成的。尽管ChatGPT通常会拒绝复制官方证件的请求，但报告称，攻击者可能通过将请求表述为模拟或样本设计，从而操纵提示词来生成图像。

“这是一个真实案例，展示了金苏基组织应用深度伪造技术的情况。”Genians警告说，生成式人工智能可能会被滥用，以很少的技术技能就能创造出逼真的伪造品。

Kimsuky自2012年以来一直活跃，目标是韩国、日本、美国、欧洲和俄罗斯的政府、学者、智库、记者和活动家。其主要关注对象是从事与朝鲜相关问题的个人，包括人权和制裁问题。

Genians和其他研究人员还记录了朝鲜IT工作者利用人工智能生成虚假简历和在线身份以获得海外工作，以及在受雇后协助技术面试和任务的情况。

韩国外交部警告说，平壤的工作人员“使用各种技术伪装成非朝鲜IT工作者，使用虚假身份和地点，包括利用人工智能工具以及与外国协助者合作。”

消息来源： therecord.media；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文