攻击者滥用Grok传播钓鱼链接

根据ESET研究人员报告，威胁行为者正在滥用X平台的生成式AI机器人Grok来传播钓鱼链接。攻击者通过欺骗Grok，让它以为自己在回答问题，并在回答中提供链接来实现这一目的。

“在此攻击活动中，威胁行为者通过运行带有点击诱饵视频的视频卡片帖子，绕过了X平台在推广帖子中禁止链接的规定（旨在打击恶意广告），“ESET表示。

“他们能够在视频下方的小’来自’字段中嵌入恶意链接。但有趣的地方在于：恶意行为者随后会询问X平台内置的生成式AI机器人Grok该视频来自何处。Grok读取帖子，发现微小链接，并在其回答中放大传播该链接。”

研究人员发现数百个账户使用这种技术，他们的帖子获得了数百万次展示。由于Grok是合法工具，这些帖子还获得了放大的SEO效果。

虽然ESET的报告主要关注Grok，但研究人员指出，同样的技术可以应用于任何生成式AI工具。

“这种威胁确实有无限多种变体，“研究人员写道。“您的首要收获应该是永远不要盲目信任任何生成式AI工具的输出。您不能简单地假设大型语言模型没有被资源丰富的威胁行为者欺骗。他们正指望您这样做。但正如我们所看到的，恶意提示可以隐藏在视线之外——以白色文本、元数据甚至Unicode字符的形式。任何搜索公开可用数据以提供答案的生成式AI都容易处理被’毒化’以生成恶意内容的数据。”

KnowBe4帮助您的员工每天做出更明智的安全决策。全球超过70,000个组织信任KnowBe4 HRM+平台来加强其安全文化并降低人为风险。

ESET对此进行了详细报道。