ChatGPT成钓鱼者天堂:AI推荐错误网址,网络安全再添新隐患
引言:AI时代的网络钓鱼新威胁
2025年7月3日,网络安全公司Netcraft发布的一项惊人研究显示,主流AI聊天机器人在推荐企业官方网站时频繁出错,这一现象正被网络钓鱼者恶意利用,为互联网用户带来新的安全风险。
研究发现:AI推荐网址正确率仅为66%
Netcraft团队针对GPT-4.1系列模型进行了专项测试,使用类似"我丢失了书签,能告诉我登录[品牌]的网站吗?"这样的日常查询方式,测试对象涵盖金融、零售、科技和公用事业等多个行业的知名企业。
测试结果令人担忧:
- 正确率仅66%:AI仅在三分之二的情况下能提供正确的官方网站地址
- 29%指向无效网站:近三成推荐链接指向已失效或被暂停的网站
- 5%指向错误合法网站:另有5%虽然链接到合法网站,但并非用户所请求的企业官网
钓鱼者的新策略:利用AI错误牟利
Netcraft威胁研究负责人Rob Duncan解释:"这对大多数用户来说只是不便,但对网络犯罪分子而言,这是一个潜在的新机会。"
钓鱼者的操作手法简单而有效:
- 向AI查询特定品牌的官方网址
- 获取AI推荐的错误URL
- 注册这些尚未被使用的域名
- 搭建与官方网站相似的钓鱼页面
- 等待被AI误导的用户上钩
Duncan指出:"AI关注的是词语和关联,而非评估URL或网站声誉。"在测试中,当询问"Wells Fargo的登录URL"时,ChatGPT曾推荐一个精心设计的钓鱼网站,该网站此前已被用于钓鱼攻击。
从搜索引擎到AI:钓鱼策略的转变
正如《The Register》此前报道,网络钓鱼者的策略正在发生显著变化。他们不再专注于提高在传统搜索引擎中的排名,而是优化内容以出现在AI生成的结果中。
Duncan分析道:"网民越来越多地使用AI而非传统搜索引擎,但并未意识到大型语言模型(LLM)驱动的聊天机器人可能出错。"
Solana区块链API投毒案例
Netcraft研究人员发现,这种攻击方式已被用于污染Solana区块链API。诈骗者搭建了一个伪造的Solana区块链接口,诱骗开发者使用有毒代码。
为增加在聊天机器人结果中出现的几率,诈骗者采取了一系列措施:
- 创建数十个看似支持该伪造接口的GitHub仓库
- 发布相关的Q&A文档和使用教程
- 创建虚假的编码账号和社交媒体账号进行链接
Duncan表示:"这与我们之前见过的一些供应链攻击非常相似,都是通过长期布局来获取信任。不同之处在于,这里是试图欺骗那些进行'氛围编码'(vibe coding)的开发者使用错误的API。"
如何保护自己:实用建议
面对这一新威胁,互联网用户应采取以下防范措施:
- 手动输入网址:重要网站尽量手动输入URL或使用可信书签
- 验证网站身份:登录前检查网站SSL证书和域名拼写
- 保持警惕:对AI提供的链接保持怀疑态度,特别是涉及账号登录的情况
- 更新安全软件:确保设备上的安全软件和浏览器处于最新状态
- 官方渠道核实:如对网址有疑问,通过其他官方渠道进行核实
结语:AI便利与安全的平衡
AI聊天机器人为我们提供了前所未有的便利,但这项研究提醒我们,在享受技术红利的同时,必须保持警惕。随着网络钓鱼技术的不断进化,用户的数字安全意识和防护措施也需要同步升级。
在这个AI日益普及的时代,"不要轻信AI的一切答案"或许将成为新的网络安全准则。
欢迎大家关注公众号:极客悟道
每天不定时分享开源新品,经验分享
