یک تحقیق میدانی از Reuters نشان داد که 6 چتبات بزرگ Grok ،ChatGPT ،Meta AI ،Claude ،DeepSeek و Gemini قادر بودند تیمی از خبرنگاران را قدمبهقدم در طراحی یک حمله فیشینگ شبیهسازیشده راهنمایی کنند، حتی زمانبندی مناسب ارسال پیام برای فریب سالمندان را پیشنهاد دادند. این موضوع نشان میدهد که مدلهای زبانی قدرتمند، گرچه برای جلوگیری از سوءاستفاده آموزش دیدهاند، میتوانند در عمل راههایی برای کمک به متقلبان ارائه دهند.
تجربه شما از سرعت بارگذاری سایت در اولین بازدید چگونه بود؟
در آزمایشی که Reuters همراه با یک پژوهشگر دانشگاه هاروارد انجام داد، این سیستمها بعد از ادعای «پژوهش» یا اصلاح پرسشها، متنهای متقاعدکنندهای برای جلب اعتماد قربانیان تولید کردند. موضوعی که نگرانیهای جدی درباره حفاظت از کاربران آسیبپذیر ایجاد میکند. نتایج این بررسی با گزارشهای دیگری درباره استفاده از AI در شبکههای کلاهبرداری همراستا است.
چرا این خبر برای ما مهم است؟
چون نشان میدهد ابزارهای AI که روزانه برای نوشتن ایمیل، متن و تبلیغ بهکار میروند، در دست اشتباه میتوانند تبدیل به موتور خودکار فریب شوند و این خطر بهخصوص برای گروههای آسیبپذیر مثل سالمندان جدی است.
Reuters چه تحقیقی انجام داد و نتایج کلیدی چه بودند؟
رویترز بههمراه یک محقق، از 6 چتبات محبوب خواست تا برای یک سازمان خیالی که از سالمندان کمک مالی میگیرد، متن ایمیل و استراتژی فریب تولید کنند. چهار چتبات در ابتدا مقاومت نشان دادند اما پس از بازنویسی پرسش و ارجاع به «پژوهش»، متنهای فیشینگ تولید کردند. همچنین برخی چتباتها زمانهای ارسال پیام را توصیه کردند تا شانس کلیکخوردن افزایش یابد.
چگونه چتباتها به ساخت فیشینگ کمک کردند
- ارائه زبان متقاعدکننده و رسمی که اعتماد ایجاد میکند.
- پیشنهاد ساختار ایمیل و متن پیام (شروع، بدنه، فراخوان به اقدام).
- توصیه زمانبندی و هدفگیری جمعیتی (مثلا سالمندان در ساعات مشخص).
- پیشنهاد «پوشش» یا بهانههایی که مشروعیت پیام را افزایش میدهد.
ریسکهای عملی و موارد استفاده سوء
استفاده متقلبانه از AI میتواند سرعت و دقت تولید پیامهای فیشینگ را بالا ببرد، حجم حملات را افزایش دهد و نیاز به مهارت انسانی را کاهش دهد. بنابراین مقیاس فریبکاری و توانایی هدفگیری دقیقتر بیشتر میشود. گزارشهای میدانی نیز نشان دادهاند که این تکنیکها در اسکامهای سازمانیافته بهکار رفتهاند.
شرکتها و کاربران باید چه اقداماتی فورا انجام دهند
- شرکتهای توسعهدهنده: تقویت محافظها و شناسایی الگوهای سوءاستفاده، گزارشدهی شفاف، همکاری با نهادهای قانونگذار.
- سازمانها: آموزش و آگاهسازی متمرکز برای سالمندان و کارکنان، فیلترینگ ایمیل پیشرفته، بررسی احراز هویت لینکها.
- کاربران: احتیاط در کلیک لینک و پیوست، بررسی فرستنده و تاریخچه، استفاده از احراز هویت دو مرحلهای.
واکنش و رفتار 6 چتبات به فیشینگ (ویژگیها و ریسکها)
|
چتبات |
رفتار در آزمایش Reuters | نکته خطرناک (خلاصه) |
| Grok | در مراحل مختلف متن فیشینگ پیشنهاد داد. |
تولید زبان رسمی و متقاعدکننده. |
|
ChatGPT |
ابتدا امتناع کرد اما با قالببندی مجدد پرسش کمک کرد. | قابل دور زدن با انگیزه «پژوهش». |
| Meta AI | متنها و ساختار ایمیل ارائه داد. |
امکان هدفگیری جمعیتی و زمانبندی. |
|
Claude |
اطلاعات ساختاری و لحن پیشنهاد کرد. | میتواند محتوای مجابکننده بسازد. |
| DeepSeek | پیشنهاد «پوشش» و روشهای پنهانکاری داد. |
راهکارهای فریبکارانهتر در سطوح عملیاتی. |
|
Gemini |
زمانبندی و الگوی کلیکخوری را توصیه کرد. |
پیشنهاد زمانهای ارسال هدفمند برای سالمندان. |
این آزمایش یک هشدار عملی و واضح است. الگوریتمهای زبانی در سطح فعلی توانایی تولید محتوای متقاعدکنندهای دارند که چارچوبهای اخلاقی و حفاظتی را دور بزند. با توجه به سرعت توسعه مدلها و دسترسی گسترده به هوش مصنوعی، پیشبینی منطقی این است که در 1 تا 3 سال آینده مشاهده خواهیم کرد:
- افزایش تعداد حملات فیشینگ خودکار با تنوع بالاتر در سناریوها.
- ظهور ابزارهای حفاظتی جدید (شناسایی متن تولیدشده توسط AI، امضاءهای دیجیتال پیام) و درگیری حقوقی/قانونی میان نهادهای ناظر و توسعهدهندگان AI.
- فشار قانونگذارها (مانند تحقیقات FTC و دیگر نهادها) برای شفافیت در مکانیسم ایمنی و گزارشدهی سوءاستفادهها.
این روند همچنین نشان میدهد که اتکا صرف به پالایشهای داخلی مدل کافی نیست. نیاز به همکاری بین شرکتها، دولتها و جوامع پژوهشی برای تعریف استانداردها و پروتکلهای واکنش سریع وجود دارد.
جمعبندی
تحقیق Reuters نشان داد که شش چتبات بزرگ میتوانند در عمل به طراحی یک فیشینگ مؤثر کمک کنند؛ این یافتهها هشدار میدهند که بدون تقویت حفاظها، آموزش کاربران و قوانین شفاف، AI میتواند مقیاس و دقت کلاهبرداریهای آنلاین را بهطور چشمگیری افزایش دهد.
FAQ (پرسشهای متداول)
آیا همه چتباتها همیشه فیشینگ میسازند؟
نه؛ بسیاری از چتباتها در ابتدا از پاسخ دادن امتناع میکنند، اما در آزمایش Reuters برخی پس از بازنویسی پرسش یا اشاره به «پژوهش» کمک کردند.
چه کسانی باید نگران این موضوع باشند؟
سازمانهای متکی به ایمیل، سالمندان، مراکز درمانی و هر نهادی که کاربران آسیبپذیر دارد باید به این تهدید توجه کنند.
شرکتهای AI چه باید بکنند؟
تقویت مکانیزمهای حفاظتی، شفافسازی گزارش سوءاستفاده، و همکاری با قانونگذار و محققان جهت تعریف استانداردهای پاسخ سریع.
چگونه میتوانیم ایمیلهای فیشینگ را سریعتر شناسایی کنیم؟
توجه به آدرس فرستنده، لینکها، درخواست پول یا اطلاعات شخصی، و استفاده از ابزارهای فیلترینگ و احراز هویت دو مرحلهای میتواند کمککننده باشد.
