生成式AI人工智能(Generative AI),成为今年引领科技界的新趋势潮流,包括:谷歌、微软、Meta、Adobe与NVIDA等巨头,都相继投入相关技术与应用的研发,包括:搜寻、创作写论文、画图设计、影片生成等,甚至也涵盖拓展至汽车车用芯片、金融、医疗、法律、客服、教育等领域, 被视为是未来十年颠覆网络商业模式的AI新世代。
然而,值得注意的是,当红热夯的生成式AI人工智能,现在也被黑客集团作为散布传播恶意程序的新型态网攻手法。
据数位威胁AI监控平台CloudSEK 资安业者表示,在YouTube、推特或IG等串流影音平台上,近期就出现大量运用生成式AI人智慧的影片剪辑软件,包括如:Synthesia 和 D-ID 等,这类爆炸性快速成长的AI恶意影片,内容都暗藏有Vidar、RedLine 和 Raccoon等这类窃密恶意程序, 从去年11月以来至今,影片量成长已达300%以上。
由于这类影片诉求可让没有影片制作剪辑与不会写脚本文案的新手,也能快速制作出高水准的影片,因此也被不会做影片骇客,作为发动恶意攻击的工具。
CloudSEK 分析指出,这波来势汹汹以生成式AI人工智能,被黑客利用制作恶意影片,主要有三大手法。
一种是伪装为免费破解版、热门游戏教学等影片内容,本身都内藏有恶意程序,上传至YouTube 串流影音平台后,影片标题大多以声称为如何免费下载破解版 Office、Photoshop、Illustrator、Premiere Pro、Adobe Photoshop或热门知名游戏的教学影片等名义, 并于该影片的信息说明字段提供内藏恶意代码的网址链接,作为钓鱼引诱。 平均每小时就有5至10支类似的教学影片,被黑客份子上传至中Youtube平台上。
第二种则是假借征才招聘、教育培训的名义,例如运用 D-ID 自动AI生成影片软件为例,透过生成式AI技术,可把照片或影片转换成吸引眼球的虚拟人物角色形式,并配上名人声音作为吸睛眼球诱饵,让不知情的网友点击网址。
于上述两种情况下,一旦不慎点击带有恶意程式码的视频网址链接后,用户电脑就会被植入木马程序,在毫无知情的状况下,导致个资遭外泄,如浏览器数据、账号密码、信用卡信息、加密钱包凭证与文件档案等。。
第三种,当骇客经由上述手法并透过信息窃取器窃取特定对象的 YouTuber用户后,还会取得接管该 YouTuber 频道的帐号权限,并上传多支恶意影片,以吸引该频道既有的粉丝点击。
至于要如何判断该视频是否为暗藏恶意程序的视频,建议现阶段可掌握三要点:视频标题为非法的破解或教学不要点击,视频说明有提供外部链接网址不要点击,AI生成的视频内容,虚拟人物若为 Synthesia、PictoryAI、D-ID 可套用的熟悉脸孔特征不要点击。
