美25歲駭客用AI繪圖外掛入侵迪士尼 盜取1.1TB資料還恐嚇員工「恐面臨10年刑期」
[周刊王CTWANT] 美國司法部(Department of Justice)近日表示,駭客代號為「NullBulge」的25歲男子克雷默(Ryan Mitchell Kramer)目前,已同意就入侵迪士尼公司電腦系統的行為認罪。這起案件牽涉AI生成藝術工具的惡意操作與數據竊取,為近年來AI領域相關資安事件中最具爭議的案例之一。
根據外媒報導指出,司法部新聞稿表示,克雷默即將承認兩項聯邦重罪指控,包括「非法存取電腦並取得資訊罪」以及「威脅破壞受保護電腦罪」,每項罪名最高可判處5年聯邦監禁,共計10年刑期。
這起案件的核心在於一款廣泛使用的AI圖像生成介面工具ComfyUI,該工具為開源平台Stable Diffusion的擴充套件,主要透過Github發布。克雷默在ComfyUI中植入一個特洛伊木馬,進而入侵安裝該工具的使用者電腦。
透過這個後門,克雷默得以未經授權地存取多位使用者的系統,其中一人正是迪士尼公司的員工。他藉由該員工的電腦登錄迪士尼的Slack系統,並下載多達1.1TB的公司內部資料。
根據2024年7月的記錄,克雷默以「NullBulge」之名與該員工聯繫,威脅將其個人資訊外洩。由於該員工未做出回應,克雷默最終真的將資料公開。
克雷默曾在ComfyUI的Github頁面上留下聲明,聲稱其行為出於對AI藝術生成的意識形態抗議。他認為AI藝術對創意產業造成損害,應該受到限制。他寫道「也許你們可以看看我們的行動,然後對於在如此安全性薄弱的帳號上發布AI工具再三考慮。」
根據資安公司vpnMentor指出,克雷默所修改的ComfyUI版本不僅植入惡意代碼,還能入侵用戶的加密貨幣錢包、注入木馬程式並大量竊取個人資料。另一間資安公司SentinelOne的研究報告則曝光,NullBulge早已是一名長期從事惡意駭客活動並牟利的網路攻擊者。
雖然目前克雷默的認罪協議僅限於迪士尼案,但司法部指出,他已承認至少還有另外兩名受害者在不知情的情況下安裝了他所修改的惡意檔案,使他得以侵入他們的電腦與帳號。聯邦調查局(FBI)正持續深入調查此案,是否涉及更大範圍的網路入侵與資料外洩尚待進一步釐清。
延伸閱讀
- 記者:周刊王CTWANT
- 更多國際新聞 »
