欺骗性不比真人写的差，警惕由AI生成的钓鱼邮件

IBM 的欺骗一项新研究表明，当前的人写生成式人工智能 (AI) 模型已经非常擅长编写看似高度可信的网络钓鱼电子邮件 ，并且可以为攻击者节省大量时间
。差钓鱼

在IBM针对一家未透明名称的警惕全球医疗保健公司1600 名员工进行的测试中，各有一半的由A邮件员工分别收到了来自由真人和AI编写的钓鱼邮件 ，结果显示，源码库欺骗14% 的人写员工误入了真人编写的钓鱼电子邮件并点击了恶意链接，11% 的差钓鱼员工则陷入了由ChatGPT 编写的钓鱼邮件。

由 ChatGPT 制作的警惕钓鱼电子邮件（由 IBM 提供）

虽然由真人编写的钓鱼邮件在欺骗度上高于AI，但差距已经不大 ，由A邮件更重要的欺骗是香港云服务器 ，研究人员只用了五分钟就让 ChatGPT 写出了一封钓鱼邮件 。人写

领导这项实验的差钓鱼 IBM 首席人力黑客斯蒂芬尼·卡拉瑟斯（Stephanie Carruthers） 说道 ：““我的团队通常需要大约 16 个小时来构建网络钓鱼电子邮件 ，而且这还不考虑基础设施设置。警惕因此 ，由A邮件攻击者可以通过使用生成式人工智能模型节省近两天的工作时间。”

虽然ChatGPT 开发商 OpenAI 已经采取了保护措施 ，防止聊天机器人响应网络钓鱼电子邮件、恶意软件或其他恶意网络工具的云计算直接请求 。但卡拉瑟斯和她的团队已经找到了解决方法。

团队首先要求 ChatGPT 列出医疗保健行业员工关注的主要领域 ，然后提示 ChatGPT在电子邮件中列出最重要的社交工程和营销技术 ，以提高更多员工点击电子邮件中恶意链接的可能性。接着
，提示询问 ChatGPT 发件人应该是谁——公司内部人员 、模板下载供应商或外部组织。最后 ，要求ChatGPT根据刚刚提供的信息制作一封电子邮件 。

“我拥有近十年的社会工程经验，制作了数百封网络钓鱼电子邮件，我甚至发现人工智能生成的网络钓鱼电子邮件相当有说服力 ，”卡拉瑟斯说
。

她解释说，在创建网络钓鱼电子邮件方面 ，建站模板人仍然比机器更好，因为生成式人工智能模型仍然缺乏欺骗更多人所需的情商。

然而，IBM X-Force 已经观察到，诸如 WormGPT 之类的工具在各种宣传网络钓鱼功能的论坛上出售 ，表明攻击者正在测试人工智能在网络钓鱼活动中的使用，而且该技术正在不断改进。