網路安全公司Huntress近日警告,黑客正利用人工智能聊天機器人的提示內容,在谷歌搜尋結果中植入惡意指令,誘使不知情用戶在電腦輸入危險程式碼,從而讓黑客獲取系統存取權並安裝惡意軟件。
科技媒體Engadget報道解釋,黑客會先與AI助理就常見搜尋字詞進行對話,並在過程中促使AI建議把某項指令貼到電腦終端機。其後,黑客將這段對話設為公開,並付費在谷歌推廣,使相關連結在搜尋結果頁面靠前出現。
Huntress之所以展開調查,是因發現名為AMOS、針對蘋果Mac的資料外洩攻擊源自一次普通的谷歌搜尋。受害者曾搜尋「清理Mac的硬碟空間」,並點擊一則受贊助的ChatGPT連結,再因缺乏相關知識而執行指令,使黑客成功安裝AMOS惡意軟件。Huntress測試ChatGPT和Grok後發現,兩者皆能重現同樣的攻擊途徑。
Huntress指出,此攻擊手法的「邪惡」之處在於,它幾乎繞過所有傳統的警示訊號:受害者無需下載檔案、安裝可疑程式或點擊可疑連結,只需要信任谷歌及ChatGPT——兩者均為大眾多年來熟悉或經常聽聞的工具。
專家表示,目前仍未確定此類攻擊能否被其他聊天機器人複製,惟呼籲用戶格外小心,切勿把不明用途的指令貼入終端機或瀏覽器網址列,以免墮入黑客圈套。本報訊
