駭客利用惡意AI工具入侵迪士尼 承認兩項重罪罪名
一名25歲駭客因利用AI圖像生成工具誘使用戶下載惡意軟件,現已承認兩項重罪指控。
根據美國司法部的新聞稿,這名駭客Ryan Mitchell Kramer(網名“NullBulge”)同意認罪,涉及駭入迪士尼公司系統。他透過入侵一款名為ComfyUI的AI圖像生成介面,成功控制了使用該工具的用戶電腦,其中包括一名迪士尼員工的設備。
ComfyUI是一款在GitHub上分發的流行開源AI圖像生成器Stable Diffusion的圖形用戶介面,NullBulge在該介面中植入了木馬程式,使他能夠遠程訪問受害者電腦。藉此,他入侵了該迪士尼員工的Slack帳戶,下載了高達1.1TB的數據。
2024年7月,NullBulge以此員工身份威脅將洩露所有獲取的個人資料,因對方未回應,他隨後兌現威脅,公開了這些資料。NullBulge當時表示,此舉是對AI生成藝術的一種意識形態抗議,認為AI藝術損害了創意產業,並呼籲大眾重新思考開源AI工具的安全問題。
安全研究機構vpnMentor指出,NullBulge改造的ComfyUI擴展不僅入侵加密貨幣錢包,還在用戶系統中散布惡意軟件,竊取個人資料。資安公司SentinelOne則發現NullBulge背後有長期透過駭客行為牟利的歷史。
目前,Kramer只就迪士尼駭客事件認罪,被控兩項重罪:非法訪問電腦並獲取資訊,以及威脅破壞受保護電腦系統,兩項罪名均最高可判處五年聯邦監禁。司法部同時表示,除了迪士尼外,還有至少兩名其他受害者曾下載其惡意文件,FBI正持續調查中。
—
評論與啟示
這宗案件揭示了AI技術雙刃劍的現實:一方面,AI工具為創意產業帶來革命性的便利和創新;另一方面,若安全防護不足,便成為駭客入侵和濫用的溫床。NullBulge藉由改造熱門AI圖像生成介面,成功入侵大型企業系統,暴露出開源軟件生態中的安全漏洞與風險。
駭客以「反AI藝術」的意識形態作為行動動機,反映出業界對AI對創意工作的影響仍存爭議與焦慮。這提醒我們,科技進步必須與道德倫理和安全防護同步發展,才能真正造福社會。
此外,這事件亦凸顯企業在使用第三方開源工具時,必須加強安全審查和監控措施,避免成為駭客入侵的跳板。對於用戶而言,也應提高警覺,勿輕易下載或使用未經信任的軟件擴展。
總括而言,AI技術的普及與應用不僅是技術問題,更是社會、法律與倫理的多重挑戰。未來,除了技術創新,如何建立完善的監管與安全機制,將是確保AI健康發展的關鍵。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
