fbpx
13.8 C
София

Представлява ли ChatGPT заплаха за киберсигурността?

Най-четени

След дебюта си през ноември, ChatGPT се превърна в новата любима занимавка на интернет потребителите. Чатботът, работещ с помощта на изкуствен интелект бързо събра повече от един милион потребители, които го използваха за всичко – от генериране на сватбени речи и хип-хоп текстове до създаване на академични есета и писане на компютърен код.

Човекоподобните способности на ChatGPT не само завладяха интернет, но и поставиха на нокти редица индустрии: Училищата в Ню Йорк забраниха ChatGPT поради опасения, че учениците могат да го използват за преписване, копирайтърите може да бъдат заменени, а според доклади Google е толкова разтревожен от възможностите на ChatGPT, че е издал „червен код“, за да гарантира оцеляването на бизнеса с търсене на компанията.

Изглежда, че индустрията за киберсигурност – общност, която отдавна е скептична по отношение на потенциалните последици от съвременния изкуствен интелект – също обръща внимание на опасенията, че ChatGPT може да бъде използвана от хакери с ограничени ресурси и нулеви технически познания.

Само няколко седмици след дебюта на ChatGPT израелската компания за киберсигурност Check Point демонстрира как уеб базираният чатбот, използван в тандем със системата за писане на код Codex на OpenAI, може да създаде фишинг имейл, способен да пренесе зловреден товар. Ръководителят на групата за разузнаване на заплахите в Check Point Сергей Шикевич заяви пред TechCrunch, че според него подобни случаи на употреба илюстрират, че ChatGPT има „потенциала значително да промени пейзажа на киберзаплахите“, като добави, че представлява „още една стъпка напред в опасната еволюция на все по-усъвършенствани и ефективни киберспособности“.

TechCrunch също успя да генерира легитимно изглеждащ фишинг имейл с помощта на чатбота. Когато за първи път от TechCrunch помолихa ChatGPT да създаде фишинг имейл, чатботът отказа искането. „Не съм програмиран да създавам или популяризирам злонамерено или вредно съдържание“, каза той в отговор си. Но лекото пренаписване на заявката позволи лесно да бъде заобиколена вградените в софтуера „предпазна ограда“.

Много от експертите по сигурността, с които TechCrunch разговаря, смятат, че способността на ChatGPT да пише легитимно звучащи фишинг имейли – основният вектор на атака за рансъмуер ще доведе до широкото разпространение на чатбота сред киберпрестъпниците, особено сред тези, за които английският език не е майчин.

Честър Вишневски, главен изследовател в Sophos, заяви, че е лесно да се види как ChatGPT се използва за „всякакви атаки със социален инженеринг“, при които извършителите искат да изглежда, че пишат на по-убедителен американски английски.

„На базово ниво успях да напиша няколко страхотни фишинг примамки с него и очаквам, че може да се използва за по-реалистични интерактивни разговори за компрометиране на бизнес имейли и дори за атаки през Facebook Messenger, WhatsApp или други чат приложения“, каза Вишневски пред TechCrunch.

Идеята, че един чатбот може да пише убедителни текстове и да осъществява реалистични взаимодействия, не е толкова далечна. „Например, можете да инструктирате ChatGPT да се преструва на кабинет на общопрактикуващ лекар и той ще генерира реалистичен текст за секунди“, казва Хана Дарли, която ръководи изследването на заплахите в Darktrace, пред TechCrunch. „Не е трудно да си представим как участниците в заплахите могат да използват това като средство за увеличаване на силата на атаките си.“

Check Point също наскоро алармира за очевидната способност на чатбота да помага на киберпрестъпниците да пишат зловреден код. Изследователите твърдят, че са станали свидетели на поне три случая, в които хакери без технически умения са се похвалили как са използвали интелигентността на AI на ChatGPT за злонамерени цели. Един от хакерите във форум в тъмната мрежа демонстрира код, написан от ChatGPT, за който се твърди, че краде файлове, които представляват интерес, компресира ги и ги изпраща в мрежата. Друг потребител публикува скрипт на Python, за който твърди, че е първият скрипт, който някога е създавал. Check Point отбеляза, че макар кодът да изглежда доброкачествен, той „лесно може да бъде модифициран, за да криптира нечия машина напълно без никакво взаимодействие с потребителя“. Същият потребител на форума преди това е продавал достъп до хакнати фирмени сървъри и откраднати данни, заяви Check Point.

Колко трудно би могло да бъде това?

Д-р Сюлейман Озарслан, изследовател в областта на сигурността и съосновател на Picus Security, наскоро демонстрира пред TechCrunch как ChatGPT е използван за написване на фишинг примамка на тема Световното първенство по футбол в Катар и за написване на код за откуп, насочен към macOS. Озарслан помоли чатбота да напише код на Swift – езика за програмиране, използван за разработване на приложения за устройства на Apple, който може да намери документи от Microsoft Office на MacBook и да ги изпрати чрез криптирана връзка към уеб сървър, след което да криптира документите от Office на MacBook.

„Не се съмнявам, че ChatGPT и други подобни инструменти ще демократизират киберпрестъпността“, казва Озарслан. „Достатъчно лошо е, че рансъмуер код вече е достъпен за закупуване от хората в тъмната мрежа, а сега практически всеки може да го създаде съвсем сам.“

Не е изненадващо, че новината за способността на ChatGPT да пише зловреден код разбуни духовете на всички в бранша. Също така някои експерти се опитаха да опровергаят опасенията, че чатботът с изкуствен интелект може да превърне желаещите хакери в пълноправни киберпрестъпници. В публикация в Mastodon независимият изследовател по сигурността The Grugq осмива твърденията на Check Point, че ChatGPT ще „зареди с енергия киберпрестъпниците, които не умеят да кодират“.

„Те трябва да регистрират домейни и да поддържат инфраструктура. Те трябва да актуализират уебсайтовете с ново съдържание и да проверяват дали софтуерът, който едва работи, продължава да работи едва на малко по-различна платформа. Те трябва да наблюдават състоянието на инфраструктурата си и да проверяват какво се случва в новините, за да се уверят, че кампанията им не е в статия за „топ 5 на най-смущаващите фишинг фалове“, казва The Grugq. „Всъщност получаването на зловреден софтуер и използването му е малка част от гадната работа, която се върши, за да бъдеш един долнопробен киберпрестъпник.“

Някои смятат, че способността на ChatGPT да пише зловреден код има и своя положителна страна.

„Защитниците могат да използват ChatGPT за генериране на код, за да симулират противници или дори да автоматизират задачи, за да улеснят работата си. Той вече е използван за различни впечатляващи задачи, включително персонализирано обучение, изготвяне на вестникарски статии и писане на компютърен код“, казва Лаура Канкаала, ръководител на отдела за разузнаване на заплахите на F-Secure. „Все пак трябва да се отбележи, че може да е опасно да се доверявате напълно на изходния текст и код, генерирани от ChatGPT – генерираният от него код може да има проблеми със сигурността или уязвимости. Генерираният текст може също така да съдържа откровени фактически грешки“, добавя Kankaala, като поставя под съмнение надеждността на кода, генериран от ChatGPT.

Джейк Мур от ESET заяви, че с развитието на технологията, „ако ChatGPT научи достатъчно от входящите си данни, скоро може да бъде в състояние да анализира потенциални атаки в движение и да създава положителни предложения за повишаване на сигурността“.

Не само специалистите по сигурността са в противоречие относно това каква роля ще играе ChatGPT в бъдещето на киберсигурността. От TechCrunch също бяха любопитни да видят какво ще каже ChatGPT за себе си, когато зададоха въпроса на чатбота.

„Трудно е да се предвиди точно как ChatGPT или която и да е друга технология ще се използва в бъдеще, тъй като това зависи от начина на прилагането ѝ и от намеренията на тези, които я използват“, отговори чатботът. „В крайна сметка въздействието на ChatGPT върху киберсигурността ще зависи от начина, по който се използва. Важно е да сте наясно с потенциалните рискове и да предприемете подходящи стъпки за тяхното намаляване.“


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини