根据日本警方最新公布的信息,日本规模最大的连锁网咖品牌“快活CLUB”(Kaikatsu Club)于今年1月遭遇严重数据泄露事件。令人震惊的是,实施此次攻击的嫌疑人仅为一名年仅17岁的高中二年级学生。他通过规避ChatGPT内置的安全策略,借助人工智能辅助开发恶意工具,非法获取约725万名会员的个人资料,涵盖真实姓名、居住地址、联系电话、会员ID等高度敏感信息。
据查,该涉案人员来自大阪关西地区,虽无专业黑客从业背景,但从小自主学习编程知识,曾在全国性信息安全竞赛中获奖,拥有扎实的计算机技术功底。其具体攻击方式包括:
- 向快活CLUB后台服务器发送伪造的API请求,突破身份认证防护体系
- 运用自动化脚本对数据库进行高频次、大批量的数据抓取
- 攻击行为直接导致企业部分核心服务系统瘫痪,日常运营遭受严重影响。
值得注意的是,整个攻击程序的关键模块均由ChatGPT生成。尽管当前主流大模型平台均已部署多层内容审核机制,明确禁止输出可用于非法目的的代码,但该少年通过精心设计提示语(例如将恶意功能包装为“红队渗透测试脚本”或“网络安全评估工具”),成功引导AI生成具备实际攻击能力的可执行载荷。
警方披露,该少年最初的动机是盗取绑定在账户中的信用卡信息,以便在线抢购热门宝可梦卡牌。落网后,他辩解称自己仅是“尝试发现网站安全缺陷”,但调查证实其既未事先获得授权,也未依规提交漏洞报告,主观恶意明显,已涉嫌违反《不正当指令电磁记录法》等多项刑事法律条款。
业内网络安全专家普遍认为,此案凸显了生成式AI在安全领域带来的全新挑战:
- 技术门槛降低 ≠ 安全风险降低:以往需多年实践积累的攻防能力,如今借助AI可能在数小时内被复刻
- 自然语言的高度可塑性,使得现有AI内容过滤机制极易失效——只要持续优化提问方式,模型最终大概率会“让步”
- 即便平台不断升级审查规则,“AI初稿 + 人工精调”的协作模式仍能产出隐蔽性强、检测难度高的恶意代码。
“我们正在迈入‘全民皆可成为攻击者’的新阶段,”一位不愿具名的安全研究员指出,“未来的防御体系,不能再局限于修补已知漏洞,而必须前置布局,主动建模并预判AI被滥用的典型路径。”
源码地址:点击下载
