攻擊者濫用 Grok 散布釣魚連結

根據ESET的研究人員,威脅行為者正在濫用X的生成式AI機器人Grok來散佈釣魚連結。攻擊者透過欺騙Grok,使其認為自己在回答問題,並在回覆中提供連結。

「在這次攻擊行動中,威脅行為者繞過了X對推廣貼文中連結的禁令(旨在打擊惡意廣告),透過發佈包含吸引點擊的影片貼文來達成,」ESET表示。

「他們能夠在影片下方的小『來自』欄位嵌入他們的惡意連結。但這裡有趣的地方在於,惡意行為者接著詢問X內建的生成式AI機器人Grok這段影片的來源。Grok閱讀了這個貼文,注意到了那個小連結,並在回覆中加以放大。」

研究人員發現數百個帳號使用這種技術,這些貼文獲得了數百萬的瀏覽量。由於Grok是一個合法工具,因此這些貼文也獲得了提升的SEO效果。

雖然ESET的報告專注於Grok,研究人員指出,這種技術也可以應用於任何生成式AI工具。

「這種威脅真的有無限的變化方式,」研究人員寫道。 「你最重要的收穫應該是永遠不要盲目相信任何生成式AI工具的輸出。你不能假設大型語言模型(Large Language Model)沒有被資深的威脅行為者欺騙。它們正指望你這樣做。但是,如我們所見,惡意提示可以隱藏在視覺之外—包括白色文字、元數據,甚至Unicode字元。任何查詢公開可用資料以提供您答案的生成式AI,都可能會受到輸入“污染”的資料的影響,從而生成惡意內容。」

KnowBe4的使命是讓您的員工每天都能做出更明智的安全決策。全球超過70,000個組織信賴KnowBe4 HRM+平台來加強他們的安全文化並降低人為風險。

ESET報導了這個故事。文章來源: Attackers Abuse Grok to Spread Phishing Links

You cannot copy content of this page