一位在德里工作的IT从业人员收到一条短信,发件人自称是大学时的老朋友。起初,他觉得这很蹊跷。发件人自称是印度行政服务官员,声称他的一位在准军事部队服役的朋友即将调任,需要“低价”出售一些高档家具和家电。
这是一起典型的“军队调动”诈骗案, 也是印度普遍存在的网络诈骗手段。但受害者并没有拉黑对方号码或上当受骗,而是决定利用常被指责为网络犯罪分子提供便利的技术——人工智能——来反击。
根据Reddit上发布的详细报告,网名为u/RailfanHS的用户利用OpenAI的ChatGPT程序对一个追踪网站进行了“氛围编码” 。这个陷阱成功获取了骗子的位置信息和一张面部照片,导致双方展开了一场激烈的网络对峙,据说骗子在对峙中苦苦哀求。
虽然无法独立核实 Reddit 用户的身份,并且具体个人仍然匿名,但帖子中描述的技术方法已经过该平台开发者和人工智能爱好者社区的审查和验证。
该事件凸显了“ 打击诈骗”这一日益增长的趋势——即精通技术的人引诱诈骗分子浪费时间或揭露其诈骗活动,这种私刑正义在生成式人工智能的帮助下不断发展。
这起在印度广为流传的遭遇,开头套路似曾相识。骗子发送商品照片和二维码,要求预付款。用户 u/RailfanHS 假装扫描遇到技术问题,转而求助于 ChatGPT。
他向人工智能聊天机器人输入提示信息,使其生成一个模拟支付门户的功能网页。这段被描述为“80行PHP网页”的代码,实际上是秘密设计的,用于获取访客的GPS坐标、IP地址和前置摄像头拍摄的照片。
这种追踪机制部分依赖于社会工程学,部分依赖于软件漏洞。为了绕过浏览器通常会阻止静默访问摄像头的安全功能,用户告诉诈骗者他需要将二维码上传到链接中以“加快付款流程”。当诈骗者访问该网站并点击上传图像的按钮时,浏览器提示他允许访问摄像头和位置信息——由于急于拿到钱,他在不知不觉中授予了这些权限。
“他被贪婪、急躁和对交易门户网站的轻信蒙蔽,点击了链接,”用户 u/RailfanHS 在 r/delhi 子版块的帖子中写道。“我立即获得了他的实时 GPS 坐标、IP 地址,最令人满意的是,还有一张他坐着的清晰前置摄像头照片。”
报复行动迅速展开。这位IT专业人士将窃取的数据发回给了诈骗者。据帖子所述,此举立即引发了恐慌。诈骗者的电话被打爆,随后又发来大量信息,恳求原谅并承诺金盆洗手。
“他现在苦苦哀求,坚称他会彻底放弃这份工作,拼命请求再给他一次机会,”RailfanHS写道。“不用说,他很可能下一小时就会去骗别人,但从窃贼手中偷东西的快感真是令人疯狂。”
虽然网络正义的戏剧性故事往往令人怀疑,但这次钓鱼执法的技术基础已得到该帖子中其他用户的验证。一位网名为 u/BumbleB3333 的用户报告称,他使用 ChatGPT 成功复现了“虚假 HTML 网页”。他指出,虽然该人工智能有防止生成用于静默监视的恶意代码的防护措施,但它很容易生成看似合法的网站代码,这些网站会请求用户权限——而这正是骗子落网的原因。
“我用 ChatGPT 做了一个类似示例 HTML 网页的东西。它会在征得用户许可后上传图片时获取地理位置信息,”用户 u/BumbleB3333 评论道,证实了这种破解方法的可能性。另一位用户 u/STOP_DOWNVOTING 声称他生成了一个“符合伦理规范”的代码版本,可以修改后实现类似的功能。
原帖作者在评论中自称是人工智能产品经理,他承认自己必须使用特定的提示语才能绕过 ChatGPT 的一些安全限制。“我习惯用正确的提示语绕过这些限制,”他说道,并补充说他将脚本托管在虚拟专用服务器上。
网络安全专家警告说,虽然这种“黑客反击”令人满足,但它们游走在法律灰色地带,存在风险。不过,这确实很诱人——而且也颇具观赏性。
