近期，網(wǎng)絡(luò)安全領(lǐng)域迎來了一次震撼性的曝光。據(jù)TechRadar報(bào)道，Cato CTRL的威脅情報(bào)團(tuán)隊(duì)宣布了一項(xiàng)驚人的發(fā)現(xiàn)：他們成功利用一種前所未有的攻擊手段，突破了多個(gè)頂尖大語(yǔ)言模型（LLM）的防御，其中包括ChatGPT-4o、DeepSeek-R1和DeepSeek-V3等。值得注意的是，實(shí)施這次攻擊的研究人員并無惡意軟件開發(fā)的背景。

研究團(tuán)隊(duì)創(chuàng)造了一種名為“沉浸式世界”的新攻擊策略，該策略依賴于一種被稱為“敘述式工程”的技術(shù)，巧妙地繞過了LLM的安全機(jī)制。他們通過構(gòu)建一個(gè)極其詳盡且逼真的虛構(gòu)情境，使得原本受限的操作變得看似合理，進(jìn)而開發(fā)出了一款能夠在Chrome瀏覽器中有效運(yùn)行的信息竊取程序。

信息竊取類惡意軟件近年來在網(wǎng)絡(luò)犯罪中迅速崛起，已成為極其危險(xiǎn)的工具。而此次攻擊的成功，意味著即便沒有深厚的技術(shù)基礎(chǔ)，網(wǎng)絡(luò)犯罪分子也能夠相對(duì)容易地創(chuàng)建出惡意代碼。這一發(fā)現(xiàn)無疑為網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。

Cato CTRL的研究報(bào)告指出，大語(yǔ)言模型的出現(xiàn)“根本性地重塑了網(wǎng)絡(luò)安全的格局”。AI驅(qū)動(dòng)的網(wǎng)絡(luò)威脅正逐漸成為企業(yè)和安全團(tuán)隊(duì)面臨的一大難題，這些威脅不僅更加復(fù)雜多變，而且執(zhí)行頻率更高，對(duì)攻擊者的技術(shù)要求卻越來越低。

盡管聊天機(jī)器人配備了多重安全防護(hù)，但為了滿足用戶需求，AI系統(tǒng)往往被設(shè)計(jì)成盡可能靈活和開放。Cato CTRL的研究人員正是利用了這一特性，成功繞過了限制，使得AI能夠輕松編寫并發(fā)送網(wǎng)絡(luò)釣魚攻擊。

Cato Networks的威脅情報(bào)研究員維塔利·西蒙諾維奇對(duì)此表示：“零知識(shí)威脅行為者的興起，對(duì)企業(yè)的安全構(gòu)成了重大威脅。生成式AI工具使得惡意軟件的制作變得前所未有的簡(jiǎn)單。”他還強(qiáng)調(diào)，“信息竊取程序已成為竊取企業(yè)憑證的關(guān)鍵手段。我們新發(fā)現(xiàn)的LLM越獄技術(shù)——‘沉浸式世界’，清晰地展示了創(chuàng)建信息竊取程序的高風(fēng)險(xiǎn)性和實(shí)際可行性?！?/p>

這一發(fā)現(xiàn)不僅揭示了LLM在安全方面的潛在弱點(diǎn)，也提醒了企業(yè)和安全團(tuán)隊(duì)需要更加警惕AI驅(qū)動(dòng)的網(wǎng)絡(luò)威脅。隨著AI技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域?qū)⒚媾R更多前所未有的挑戰(zhàn)。

為了應(yīng)對(duì)這一挑戰(zhàn)，企業(yè)和安全專家需要不斷探索新的防御策略和技術(shù)，以確保能夠在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中保護(hù)好自己的數(shù)據(jù)和資產(chǎn)。

同時(shí)，這一事件也再次強(qiáng)調(diào)了網(wǎng)絡(luò)安全教育的重要性。只有提高員工和用戶對(duì)網(wǎng)絡(luò)威脅的認(rèn)識(shí)和防范意識(shí)，才能更有效地抵御這些新興的網(wǎng)絡(luò)攻擊。