最新 AI 濫用：大量產生垃圾信件寄給 8 萬個網站，還能繞過 CAPTCHA 驗證

AI 普及化後，AI 產生的垃圾困擾各行各業，最近網路安全研究員揭露 AkiraBot 人工智慧平台，向網站聊天功能、評論區和聯絡區大量寄送垃圾信件，推廣 Akira 和 ServicewrapGO 等可疑的搜尋引擎最佳化（SEO）服務。

SentinelOne 研究員 Alex Delamotte 和 Jim Walter 報告，2024 年 9 月以來 AkiraBot 攻擊超過 40 萬個網站，成功向至少 8 萬個網站寄送垃圾信件。AkiraBot 是基於 Python 的框架，最大特點在用 OpenAI 大型語言模型（LLMs）產生自訂外聯資訊，據目標網站用途調整內容。AI 產生垃圾信件還能繞過傳統垃圾信件過濾器，比一般垃圾信件工具更有效入侵你的信件匣。

工具據稱 2024 年 9 月開始使用，最初名為「Shopbot」，疑似針對 Shopify 相關網站。之後 AkiraBot 擴大目標，開始攻擊 GoDaddy、Wix 和 Squarespace 開發網站，以及有通用聯絡表格和 Reamaze 構建的即時聊天小工具網站。

AkiraBot 為用 OpenAI API 製造垃圾信件，工具還提供圖形用戶介面（GUI），能選擇攻擊網站清單並自定義同時攻擊數量。研究員發現，AkiraBot 使用 gpt-4o-mini 模型，並有「產生行銷資訊的有幫助助手」角色。

此工具甚至能避過 CAPTCHA 驗證，大量寄送垃圾信件，並經過常用廣告商代理服務逃過網路檢測。可避過的 CAPTCHA 驗證有 hCAPTCHA、reCAPTCHA 和 Cloudflare Turnstile。此工具網路流量設計成模仿合法終端用戶，並用 SmartProxy 等代理主機遮掩來源。

OpenAI 已禁用威脅性 API 密鑰和其他資產，研究員還發現另一個網路犯罪工具 Xanthorox AI，可產生程式、開發惡意軟體、利用漏洞和數據分析的多合一聊天機器人。

垃圾內容難以辨識

AkiraBot 對企業尤其中小型企業造成嚴峻挑戰。首先，這類 AI 驅動的垃圾製造器更難被傳統安全系統辨識，因能產生個人化資訊，企業需重新評估並加強數位安全策略。

企業應採取以下措施保護自己：升級聯絡表格和聊天工具防護機制，不能只靠 CAPTCHA 驗證，還應考慮更先進用戶行為分析和威脅檢測系統；多層安全措施，包括基於 IP 的過濾器、內容分析工具和用戶互動模式監控；定期審查網站評論和資訊，特別 SEO 相關可疑促銷內容；培訓員工辨識可能為 AI 產生的可疑資訊，尤其不請自來推廣 SEO 服務的廣告。

企業還能汲取經驗，改善網路安全策略。如與網路安全專家合作，開發 AI 產生內容檢測工具；改善網站管理系統，自動檢測和阻止可疑活動；嚴格控制網站聯絡表格和聊天功能，如新使用者或可疑 IP 地址一律採取延遲回應。

對提供網站開發和安全服務的企業，這是開發 AI 垃圾的專業安全解決方案的機會。AI 持續發展，能抵禦更高級威脅的安全服務需求一定會增加。

監管 AI 垃圾刻不容緩

AkiraBot 出現顯示用 AI 網路攻擊和防禦兩方面的快速應用。罪犯用 AI 產生更有說服力和個人化垃圾，資安專家也開發基於 AI 的檢測系統辨識和阻止攻擊。

「AI 對抗 AI」趨勢可能會成為將來網路安全主流。AI 更先進後，區分人類和 AI 內容會越來越困難，需要更複雜檢測法。企業和資安商需不斷更新策略和工具，以跟上更快速發展的威脅勢力。

AkiraBot 案例提醒企業，AI 創造機遇也包括挑戰，雖 AI 能提高效率、促進創新，但也能繞過安全措施和自動攻擊。世界越趨複雜的現在，企業需採取平衡方法：擁抱 AI 創新力，也要保持警惕，防範濫用。保持靈活與前瞻性，不僅投資安全解決方案，還要關注新興趨勢，參與業界對話，保護自己免受 AI 威脅。