Hacker News 中文摘要

RSS订阅

ChatGPT误报大公司网址,为网络钓鱼者创造天堂 -- ChatGPT creates phisher's paradise by serving the wrong URLs for major companies

原文链接 | HN讨论 | 2025-07-05 08:01:33

文章摘要

ChatGPT因推荐错误的主要公司URL,无意中为网络钓鱼者创造了便利,增加了用户被引导至恶意网站的风险。

文章总结

文章《ChatGPT creates phisher’s paradise by recommending the wrong URLs for major companies》主要讨论了ChatGPT在提供公司网站URL时出现的错误,以及这些错误如何被网络钓鱼者利用。

主要内容总结:

  1. ChatGPT的URL推荐问题:Netcraft的研究发现,ChatGPT在回答用户关于大公司登录网站URL的请求时,只有66%的时间提供了正确的URL。29%的URL指向了已失效或被暂停的网站,另外5%则指向了合法但并非用户请求的网站。

  2. 网络钓鱼者的新机会:Netcraft的威胁研究负责人Rob Duncan指出,这些错误为网络钓鱼者提供了新的机会。钓鱼者可以通过购买未注册的域名,并设置钓鱼网站来利用ChatGPT的错误推荐。

  3. AI的局限性:ChatGPT等AI模型主要依赖词语和关联性来生成答案,而不是评估URL或网站的信誉。这使得AI容易受到精心设计的钓鱼网站的影响。

  4. 钓鱼攻击的新策略:钓鱼者正在改变策略,专注于构建能够出现在AI生成结果中的虚假网站,而不是依赖传统搜索引擎的高排名。例如,Netcraft的研究人员发现,钓鱼者通过设置虚假的Solana区块链接口,并发布大量相关的GitHub仓库、Q&A文档和教程,来诱使开发者使用被污染的代码。

  5. 长期攻击策略:这种攻击方式类似于供应链攻击,钓鱼者通过长期的努力来诱使目标使用错误的API或代码。

图片保留:

  • Image 1 & Image 2: 登录/注册图标
  • Image 3: 搜索图标
  • Image 4 & Image 5: 菜单图标
  • Image 7 & Image 8: 评论气泡图标
  • Image 9: 作者图标
  • Image 10 & Image 15: 社交媒体分享图标
  • Image 16 & Image 17: 社交媒体分享图标
  • Image 19: The Register的图标
  • Image 20, Image 21, Image 22: 导航箭头图标
  • Image 23: Situation Publishing的logo

结论:

文章强调了AI在提供信息时的局限性,以及这些局限性如何被网络钓鱼者利用。随着越来越多的人依赖AI而不是传统搜索引擎,这种风险可能会进一步增加。

评论总结

  1. 关于LLM生成链接的幻觉问题

    • 评论1指出,许多链接是“幻觉”(hallucinations),错误率可能与其他领域一致,只是我们主观上认为它不同。
      引用:“It's wild how many of the links are hallucinations.”
      中文:“很多链接都是幻觉,这真是令人惊讶。”
    • 评论4提到,相关研究可能带有商业目的,缺乏中立性。
      引用:“So, I could believe the headline here, but less confident that this is an unbiased look at the problem.”
      中文:“我相信标题,但对这是否是一个中立的分析不太确定。”

  2. LLM对垃圾评论和SEO的影响

    • 评论2认为,LLM内容抓取工具无视“nofollow”标签,导致垃圾评论和SEO问题加剧。
      引用:“But spammers have learned that most LLM content scraper bots don't care about 'nofollow,' so they're back to spamming everywhere.”
      中文:“但垃圾发送者发现大多数LLM抓取工具不关心'nofollow',所以他们又开始到处发垃圾信息。”
    • 评论6提到Cloudflare计划阻止AI抓取“真实”网站,可能对此问题有所缓解。
      引用:“I wonder if Cloudflare's new plan for blocking AI from scraping the 'real' sites...”
      中文:“我想知道Cloudflare阻止AI抓取‘真实’网站的新计划是否有效。”

  3. LLM在某些领域的表现

    • 评论3赞扬Phind在避免虚假链接方面的表现,认为它是一个不错的免费搜索引擎。
      引用:“I've been using Phind lately and I think they do a really good job avoiding this problem.”
      中文:“我最近一直在用Phind,我认为他们在避免这个问题上做得很好。”
    • 评论7指出,LLM在某些小众领域(如特定产品或公司)表现较好,较少出现幻觉。
      引用:“LLMs dont seem to hallucinate my niche products and company...”
      中文:“LLM似乎没有在我的小众产品和公司上出现幻觉。”

  4. LLM与供应链攻击的类比

    • 评论5将LLM的幻觉问题与供应链攻击类比,认为“氛围编程”(vibe coding)可能被误导。
      引用:“It totally makes sense that vibe coding would be poisoned into useless oblivion so early in this game.”
      中文:“在这个游戏早期,‘氛围编程’被毒害成无用之物,这完全说得通。”