近期，網(wǎng)絡(luò)安全領(lǐng)域迎來了一次震撼性的曝光。據(jù)TechRadar報道，Cato CTRL的威脅情報團隊宣布了一項驚人的發(fā)現(xiàn)：他們成功利用一種前所未有的攻擊手段，突破了多個頂尖大語言模型（LLM）的防御，其中包括ChatGPT-4o、DeepSeek-R1和DeepSeek-V3等。值得注意的是，實施這次攻擊的研究人員并無惡意軟件開發(fā)的背景。

研究團隊創(chuàng)造了一種名為“沉浸式世界”的新攻擊策略，該策略依賴于一種被稱為“敘述式工程”的技術(shù)，巧妙地繞過了LLM的安全機制。他們通過構(gòu)建一個極其詳盡且逼真的虛構(gòu)情境，使得原本受限的操作變得看似合理，進而開發(fā)出了一款能夠在Chrome瀏覽器中有效運行的信息竊取程序。

信息竊取類惡意軟件近年來在網(wǎng)絡(luò)犯罪中迅速崛起，已成為極其危險的工具。而此次攻擊的成功，意味著即便沒有深厚的技術(shù)基礎(chǔ)，網(wǎng)絡(luò)犯罪分子也能夠相對容易地創(chuàng)建出惡意代碼。這一發(fā)現(xiàn)無疑為網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。

Cato CTRL的研究報告指出，大語言模型的出現(xiàn)“根本性地重塑了網(wǎng)絡(luò)安全的格局”。AI驅(qū)動的網(wǎng)絡(luò)威脅正逐漸成為企業(yè)和安全團隊面臨的一大難題，這些威脅不僅更加復雜多變，而且執(zhí)行頻率更高，對攻擊者的技術(shù)要求卻越來越低。

盡管聊天機器人配備了多重安全防護，但為了滿足用戶需求，AI系統(tǒng)往往被設(shè)計成盡可能靈活和開放。Cato CTRL的研究人員正是利用了這一特性，成功繞過了限制，使得AI能夠輕松編寫并發(fā)送網(wǎng)絡(luò)釣魚攻擊。

Cato Networks的威脅情報研究員維塔利·西蒙諾維奇對此表示：“零知識威脅行為者的興起，對企業(yè)的安全構(gòu)成了重大威脅。生成式AI工具使得惡意軟件的制作變得前所未有的簡單。”他還強調(diào)，“信息竊取程序已成為竊取企業(yè)憑證的關(guān)鍵手段。我們新發(fā)現(xiàn)的LLM越獄技術(shù)——‘沉浸式世界’，清晰地展示了創(chuàng)建信息竊取程序的高風險性和實際可行性。”

這一發(fā)現(xiàn)不僅揭示了LLM在安全方面的潛在弱點，也提醒了企業(yè)和安全團隊需要更加警惕AI驅(qū)動的網(wǎng)絡(luò)威脅。隨著AI技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全領(lǐng)域?qū)⒚媾R更多前所未有的挑戰(zhàn)。

為了應(yīng)對這一挑戰(zhàn)，企業(yè)和安全專家需要不斷探索新的防御策略和技術(shù)，以確保能夠在日益復雜的網(wǎng)絡(luò)環(huán)境中保護好自己的數(shù)據(jù)和資產(chǎn)。

同時，這一事件也再次強調(diào)了網(wǎng)絡(luò)安全教育的重要性。只有提高員工和用戶對網(wǎng)絡(luò)威脅的認識和防范意識，才能更有效地抵御這些新興的網(wǎng)絡(luò)攻擊。