黑客利用九大AI工具组建巨型僵尸网络

黑客利用九大AI工具组建巨型僵尸网络

在网络安全领域,一场新的“军备竞赛”正在上演。攻击者不再仅依赖人工编写恶意代码,而是将目光投向了近年来风靡全球的大语言模型(LLM)。据Ars Technica报道,一组安全团队发现了一种名为“HalluSquatting”的新型攻击技术,它利用LLM在面临不确定性时会产生“幻觉”的特性,成功诱导包括ChatGPT、Claude、Gemini在内的9款最流行AI工具输出危险指令或代码片段,最终组装成足以发起分布式拒绝服务(DDoS)攻击或挖矿劫持的大型僵尸网络。

何为HalluSquatting?

“HalluSquatting”一词由“Hallucination(幻觉)”和“Squatting(抢占)”组合而成。研究人员指出,当LLM被问及某个知识盲区时,它很少直接回答“我不知道”,而是倾向于编造一个看似合理但实际错误的答案——这就是著名的“AI幻觉”。攻击者巧妙地利用了这一点:他们设计了一系列精心构造的提示词(prompt),刻意询问那些可能触发LLM生成虚假信息的话题,例如“如何优化Linux内核中的某个不存在的模块”,LLM可能会“脑补”出错误的代码或配置建议,其中恰好暗含可被利用的漏洞或恶意命令。

“这就像让一个不懂篮球的人强行解说比赛——他可能会编造出完全虚构的战术,而听众恰好可以从中找到捣乱的缝隙。”——安全研究员Alex Hammond

更危险的是,攻击者会同时向多个AI工具发送不同但互补的提示,然后将每个工具输出的“碎片化幻觉”拼接起来。例如,工具A生成了一段看似无害的Python脚本,工具B贡献了加密算法的实现细节,工具C则提供了网络通信协议的示例——三者组合后,竟能形成一个完整的、可远程控制的僵尸网络客户端。

九大工具无一幸免

研究人员测试了市面上主流的9款AI模型/工具:OpenAI的GPT-4o、Anthropic的Claude 3.5、Google的Gemini 1.5、Meta的Llama 3、Mistral AI的Mixtral 8x22B、Cohere的Command R+、AI21的Jamba 1.5、xAI的Grok-1以及DeepSeek的DeepSeek-V2。结果显示,所有模型都在不同程度上容易受到HalluSquatting攻击。成功率最低的模型(Claude)约为20%,而最高的(Grok-1)超过70%。攻击者平均需要发送不到50次提示就能拼凑出一个可用的恶意载荷。

为什么这很重要

传统的僵尸网络构建往往需要攻击者具备深厚的编码能力,或者在地下论坛购买恶意工具。但HalluSquatting将门槛大幅降低:只需会写技巧性的提示词,就能让AI“免费”生成攻击代码。此外,由于AI生成的内容在措辞、注释等方面高度仿真安全教程或技术文档,安全软件可能更难检测——毕竟,这些内容并非来自已知的恶意数据库。

更值得警惕的是,AI工具的API往往提供“无过滤”模式或开发者选项。一旦攻击者获得合法API密钥(例如通过被盗用的账户),他们可以大批量、自动化地向AI发送请求,快速迭代出大量变种恶意代码。研究人员演示了在72小时内,仅仅使用3个GPT-4o实例就生成了超过500个不同的僵尸网络客户端样本,每个样本的签名都不同,大大增加了防御难度。

编者按:AI安全的“灰犀牛”

HalluSquatting暴露了一个深层次问题:当前LLM的“对齐”(alignment)主要关注拒绝输出明显有害内容(如“如何制作炸弹”),却忽略了面对模糊、非常规知识时的“默认生成”风险。当LLM无法回答时,它本应优雅地拒绝,但一旦它开始“编造”,就可能被攻击者用来拐弯抹角地实现恶意目的。这给AI开发者和安全社区敲响了警钟:防范“幻觉”不仅是学术问题,更是现实世界的安全漏洞。

对普通用户而言,应谨慎对待AI生成的技术建议,尤其是涉及系统命令、网络配置、加密算法等敏感领域。对企业和开发者而言,部署AI工具时须加装额外的输出过滤层,并考虑对可疑提示模式进行实时监控。

目前,各AI厂商已收到研究人员的报告。OpenAI和Anthropic表示正在研究更严格的上下文安全机制,而Google则强调其安全筛选系统可以过滤90%以上类似的恶意输出——但剩下的10%仍然令人不安。

本文编译自Ars Technica