Je li ChatGPT katastrofa kibernetičke sigurnosti? Pitali smo stručnjake

ChatGPT trenutno se čini prilično neizbježnim, s pričama čudeći se njegovim sposobnostima naizgled kamo god pogledate. Vidjeli smo kako može pisati glazbu, renderirati 3D animacije i skladati glazbu. Ako se toga možete sjetiti, ChatGPT vjerojatno može pokušati s tim.

I upravo je to problem. Trenutačno u tehnološkoj zajednici ima svakakvih prepirki, a komentatori se često brinu da je umjetna inteligencija oko dovesti do apokalipse zlonamjernog softvera s čak i najzelenoprstijim hakerima koji stvaraju nezaustavljive trojance i ransomware.

Ali je li to zapravo istina? Kako bih to saznao, razgovarao sam s brojnim stručnjacima za kibernetičku sigurnost kako bih vidio što su napravili od mogućnosti zlonamjernog softvera ChatGPT-a, jesu li bili zabrinuti zbog njegove mogućnosti zlouporabe i što možete učiniti da se zaštitite u ovoj novoj svitanju svijet.

Upitne sposobnosti

Jedna od glavnih atrakcija ChatGPT-a je njegova sposobnost obavljanja kompliciranih zadataka sa samo nekoliko jednostavnih upita, posebno u svijetu programiranja. Strah je da bi to smanjilo prepreke ulasku za stvaranje zlonamjernog softvera, potencijalno riskirajući proliferaciju pisaca virusa koji se oslanjaju na AI alate da umjesto njih obavljaju teške poslove.

Joshua Long, glavni sigurnosni analitičar u zaštitarskoj tvrtki Intego, ilustrira ovo. "Kao bilo koji alat u fizičkom ili virtualnom svijetu, računalni kod može se koristiti za dobro ili za zlo", objašnjava. “Ako zatražite kod koji može enkriptirati datoteku, na primjer, bot kao što je ChatGPT ne može znati vašu pravu namjeru. Ako tvrdite da vam je potreban šifrirani kod za zaštitu vlastitih datoteka, bot će vam povjerovati — čak i ako vam je stvarni cilj stvoriti ransomware.”

ChatGPT ima različite zaštitne mjere za borbu protiv ovakvih stvari, a trik za kreatore virusa je u zaobilaženju tih zaštitnih ograda. Otvoreno zatražite od ChatGPT-a da stvori učinkovit virus i on će ga jednostavno odbiti, zahtijevajući od vas da budete kreativni kako biste ga nadmudrili i natjerali da izvrši vaše ponude protivno njegovoj boljoj procjeni. S obzirom na to što ljudi mogu učiniti bjekstva iz zatvora u ChatGPT-u, mogućnost stvaranja zlonamjernog softvera pomoću umjetne inteligencije čini se mogućom u teoriji. Zapravo, već je pokazano, tako da znamo da je moguće.

Ali ne paničare svi. Martin Žugec, direktor tehničkih rješenja u Bitdefenderu, smatra da su rizici još uvijek prilično mali. “Većina pisaca početnika zlonamjernog softvera vjerojatno neće posjedovati vještine potrebne za zaobilaženje ovih sigurnosnih rješenja mjere i stoga je rizik koji predstavlja zlonamjerni softver koji generira chatbot u ovom trenutku relativno nizak,” on kaže.

“Zlonamjerni softver koji generiraju chatbotovi u posljednje je vrijeme popularna tema rasprave,” nastavlja Zugec, “ali trenutno postoji nema dokaza koji bi sugerirali da predstavlja značajnu prijetnju u bliskoj budućnosti.” A za to postoji jednostavan razlog. Prema Zugecu, “kvaliteta zlonamjernog koda koji proizvode chatbotovi obično je niska, što ga čini manje atraktivna opcija za iskusne pisce zlonamjernog softvera koji mogu pronaći bolje primjere u javnom kodu spremišta.”

Dakle, iako je natjerati ChatGPT da izradi zlonamjerni kod svakako moguće, svatko tko ima vještine potreban za manipuliranje AI chatbotom vjerojatno neće biti impresioniran lošim kodom koji stvara, Zugec vjeruje.

Ali kao što možda pretpostavljate, generativna umjetna inteligencija tek je na početku. A dugo, to znači da rizici hakiranja koje donosi ChatGPT još nisu uklesani u kamen.

“Moguće je da porast AI botova koji se temelje na LLM-u može dovesti do malog do umjerenog porasta novih zlonamjernih programa ili poboljšanja u zlonamjernim softverima mogućnostima i izbjegavanju antivirusnih programa,” kaže Long, koristeći akronim za velike jezične modele koje AI alati poput ChatGPT-a koriste za izgradnju svojih znanje. "Međutim, u ovom trenutku nije jasno koliki izravni utjecaj alati poput ChatGPT-a imaju ili će imati na prijetnje zlonamjernim softverom iz stvarnog svijeta."

Prijatelj ribara

Ako ChatGPT-ova vještina pisanja koda još nije na visokom nivou, može li to biti prijetnja na druge načine, kao što je pisanje učinkovitijih kampanja za krađu identiteta i društveni inženjering? Ovdje se analitičari slažu da postoji mnogo više mogućnosti zlouporabe.

Za mnoge tvrtke, jedan potencijalni vektor napada su zaposlenici tvrtke, koji se mogu prevariti ili manipulirati da nenamjerno omoguće pristup tamo gdje ne bi trebali. Hakeri to znaju i bilo je mnogo visokoprofilnih napada društvenim inženjeringom koji su se pokazali katastrofalnima. Na primjer, smatra se da je sjevernokorejska Lazarus grupa započela svoje 2014. upad u Sonyjeve sustave — što je rezultiralo curenjem neobjavljenih filmova i osobnih podataka — lažnim predstavljanjem regruta za posao i navođenjem zaposlenika Sonyja da otvori zaraženu datoteku.

Ovo je jedno područje u kojem bi ChatGPT mogao značajno pomoći hakerima i krađama identiteta da poboljšaju svoj rad. Na primjer, ako akteru prijetnje engleski nije materinji jezik, mogli bi upotrijebiti AI chatbot da za njih napišu uvjerljivu phishing e-poštu koja je namijenjena ciljanim govornicima engleskog jezika. Ili bi se mogao koristiti za brzo stvaranje velikog broja uvjerljivih poruka u puno kraćem vremenu nego što bi ljudskim akterima prijetnje bilo potrebno da obave isti zadatak.

Stvari bi mogle postati još gore kada se drugi alati umjetne inteligencije ubace u mješavinu. Kao što su Karen Renaud, Merrill Warkentin i George Westerman postulirali MIT's Sloan Management Review, prevarant bi mogao generirati skriptu pomoću ChatGPT-a i dati je pročitati putem telefona putem deepfake glasa koji oponaša izvršnog direktora tvrtke. Zaposleniku tvrtke koji prima poziv, glas bi zvučao - i ponašao se - baš kao njihov šef. Ako je taj glas zatražio od zaposlenika da prebaci iznos novca na novi bankovni račun, zaposlenik bi mogao nasjesti na prijevaru zbog poštovanja koje iskazuje svom šefu.

Kao što Long kaže: “Više se [akteri prijetnji] ne moraju oslanjati na svoje vlastite (često nesavršene) vještine engleskog kako bi napisali uvjerljiv prijevarni e-mail. Niti smiju čak smisliti vlastitu pametnu formulaciju i pokrenuti je kroz Google Translate. Umjesto toga, ChatGPT — potpuno nesvjestan potencijala zlonamjernih namjera iza zahtjeva — rado će napisati cijeli tekst prijevarne e-pošte na bilo kojem željenom jeziku.”

A sve što je potrebno da ChatGPT to stvarno učini je neki pametan poticaj.

Može li ChatGPT poboljšati vašu kibernetičku sigurnost?

Ipak, nije sve loše. Iste osobine koje ChatGPT čine privlačnim alatom za aktere prijetnji - njegova brzina, sposobnost pronalaženja nedostataka u kodu - čine ga korisnim resursom za istraživače kibernetičke sigurnosti i antivirusne tvrtke.

Long ističe da istraživači već koriste AI chatbotove za pronalaženje još neotkrivenih ("nula dana") ranjivosti u kodu, jednostavnim učitavanjem koda i traženjem ChatGPT-a da vidi može li uočiti bilo kakav potencijal slabostima. To znači da se ista metodologija koja bi mogla oslabiti obranu može koristiti za njihovo jačanje.

I dok glavna privlačnost ChatGPT-a za aktere prijetnji možda leži u njegovoj sposobnosti pisanja uvjerljivih phishing poruka, ti isti talenti mogu pomoći u obuci tvrtki i korisnika o tome na što trebaju paziti kako bi izbjegli prevaru se. Također se može koristiti za obrnuti inženjering zlonamjernog softvera, pomažući istraživačima i sigurnosnim tvrtkama da brzo razviju protumjere.

U konačnici, ChatGPT sam po sebi nije dobar ili loš. Kao što Zugec ističe, “Argument da umjetna inteligencija može olakšati razvoj zlonamjernog softvera mogao bi se primijeniti na bilo koji drugi tehnološki napredak koji je koristio programerima, kao što je softver otvorenog koda ili dijeljenje koda platforme."

Drugim riječima, sve dok se zaštitne mjere poboljšavaju, prijetnja koju predstavlja čak i najbolji AI chatbotovi možda nikada neće postati toliko opasan kao što se nedavno predviđalo.

Kako se zaštititi

Ako ste zabrinuti zbog prijetnji koje predstavljaju AI chatbotovi i zlonamjernog softvera koji se može zloupotrijebiti za stvaranje, postoje neki koraci koje možete poduzeti kako biste se zaštitili. Zugec kaže da je važno usvojiti "višeslojni obrambeni pristup" koji uključuje "implementaciju sigurnosnih rješenja krajnjih točaka, čuvanje softvera i sustava do danas, te ostati oprezan u pogledu sumnjivih poruka ili zahtjeva.”

Long, u međuvremenu, preporučuje da se klonite datoteka za koje se automatski traži da ih instalirate kada posjetite web mjesto. Kada je riječ o ažuriranju ili preuzimanju aplikacije, preuzmite je iz službene trgovine aplikacija ili web stranice dobavljača softvera. I budite oprezni kada klikate na rezultate pretraživanja ili se prijavljujete na web mjesto - hakeri mogu jednostavno platiti da svoje prevarantske stranice postave na vrh rezultata pretraživanja i ukradu vaše podatke za prijavu s pomno izrađene web-lokacije slične izgledu.

ChatGPT ne ide nikamo, kao ni malware koji uzrokuje toliku štetu diljem svijeta. Dok je prijetnja ChatGPT-ove sposobnosti kodiranja zasad prenapuhana, njegova vještina u izradi phishing e-poruka mogla bi uzrokovati svakojake glavobolje. Ipak, vrlo je moguće zaštititi se od prijetnje koju predstavlja i osigurati da ne postanete žrtva. Upravo sada, obilje opreza - i solidna antivirusna aplikacija - mogu pomoći da vaši uređaji budu sigurni i zdravi.

Preporuke urednika

• Google Bard sada može govoriti, ali može li ugušiti ChatGPT?
• Promet web stranice ChatGPT pao je po prvi put
• Appleov rival ChatGPT može automatski napisati kod za vas
• Njujorški odvjetnici kažnjeni zbog korištenja lažnih ChatGPT slučajeva u pravnom sažetku
• Ovaj web preglednik integrira ChatGPT na fascinantan nov način