A ChatGPT kiberbiztonsági katasztrófa? Megkérdeztük a szakértőket

ChatGPT elég kikerülhetetlennek érzi magát most, történetekkel rácsodálkozik a képességeire látszólag bárhová nézel. Láttuk, hogyan tud zenét írni, 3D-s animációkat renderelni és zenét komponálni. Ha gondolja, a ChatGPT valószínűleg meg tudja csinálni.

És pontosan ez a probléma. A technológiai közösségben jelenleg mindenféle kéztörlés zajlik, és a hozzászólók gyakran aggódnak amiatt, hogy az AI kb. hogy a rosszindulatú programok apokalipsziséhez vezessen, még a legzöldebb ujjú hackerek is megállíthatatlan trójaiakat és zsarolóprogramokat idézzenek elő.

De ez tényleg igaz? Ennek kiderítése érdekében számos kiberbiztonsági szakértővel beszélgettem, hogy megtudjam, mit tettek a ChatGPT rosszindulatú programjaival, aggódtak-e a visszaélés lehetősége miatt, és mit tehet ön, hogy megvédje magát ebben a hajnalban újonnan érkezett világ.

Megkérdőjelezhető képességek

A ChatGPT egyik fő vonzereje, hogy bonyolult feladatokat képes végrehajtani néhány egyszerű felszólítással, különösen a programozás világában. A félelem az, hogy ez csökkentené a rosszindulatú programok létrehozása előtti belépési korlátokat, ami potenciálisan kockáztatná a vírusírók elszaporodását, akik mesterséges intelligencia-eszközökre támaszkodnak, hogy elvégezzék a nehéz terheket.

Joshua Long, az Intego biztonsági cég vezető biztonsági elemzője ezt szemlélteti. „Mint a fizikai vagy virtuális világ bármely eszköze, a számítógépes kód is használható jóra vagy rosszra” – magyarázza. „Ha például olyan kódot kér, amely képes titkosítani egy fájlt, akkor egy olyan bot, mint a ChatGPT, nem tudhatja az Ön valódi szándékát. Ha azt állítja, hogy saját fájljai védelméhez titkosítási kódra van szüksége, a bot el fogja hinni Önnek – még akkor is, ha az igazi cél a zsarolóvírus létrehozása.”

A ChatGPT különféle biztosítékokat alkalmaz az ilyen jellegű dolgok leküzdésére, és a víruskészítők trükkje az, hogy megkerülik ezeket a védőkorlátokat. Nyíltan kérje meg a ChatGPT-t, hogy hozzon létre egy hatékony vírust, és az egyszerűen visszautasítja, és kreatívnak kell lennie ahhoz, hogy kijátssza, és rávegye, hogy az Ön jobb belátása ellenére tegyen ajánlatot. Figyelembe véve, hogy az emberek mire képesek Jailbreak a ChatGPT-ben, elméletileg lehetségesnek tűnik a mesterséges intelligencia segítségével malware létrehozásának lehetősége. Valójában, már bebizonyosodott, tehát tudjuk, hogy lehetséges.

De nem mindenki esik pánikba. Martin Zugec, a Bitdefender műszaki megoldások igazgatója szerint a kockázatok még mindig meglehetősen kicsik. „A kezdő rosszindulatú programok íróinak többsége valószínűleg nem rendelkezik a biztonság megkerüléséhez szükséges készségekkel intézkedéseket, és ezért a chatbot által generált rosszindulatú programok által jelentett kockázat jelenleg viszonylag alacsony” – mondta mondja.

„A chatbot által generált rosszindulatú programok az utóbbi időben népszerű vitatéma volt – folytatja Zugec –, de jelenleg nincs bizonyíték arra, hogy jelentős veszélyt jelentene a közeljövőben.” És ennek egyszerű oka van. Zugec szerint „a chatbotok által előállított rosszindulatú programkódok minősége általában alacsony, így kevésbé vonzó lehetőség tapasztalt kártevő-írók számára, akik jobb példákat találhatnak a nyilvános kódban adattárak.”

Tehát bár a ChatGPT-t rávenni rosszindulatú kód létrehozására, minden bizonnyal lehetséges, de bárki, aki rendelkezik a szükséges képességekkel az AI chatbot manipulálásához szükséges, valószínűleg nem nyűgözi le az általa létrehozott rossz kód, Zugec hisz.

De ahogy sejtheti, a generatív AI még csak most kezdődik. És Long esetében ez azt jelenti, hogy a ChatGPT által jelentett hackelési kockázatok még nincsenek kőbe vésve.

„Lehetséges, hogy az LLM-alapú AI-botok térnyerése az új rosszindulatú programok kismértéktől mérsékelt növekedéséhez, vagy a rosszindulatú programok javulásához vezethet képességek és a víruselkerülés” – mondja Long, egy rövidítést használva azokra a nagy nyelvi modellekre, amelyeket a mesterséges intelligencia eszközök, például a ChatGPT használnak a saját fejlesztésükhöz. tudás. "Ebben a pillanatban azonban nem világos, hogy az olyan eszközök, mint a ChatGPT, mekkora közvetlen hatást gyakorolnak vagy fognak gyakorolni a valós rosszindulatú programok fenyegetésére."

Egy halász barát

Ha a ChatGPT kódírási készségei még nem érik el a nullát, akkor ez más módon is fenyegetést jelenthet, például hatékonyabb adathalász és social engineering kampányokat írva? Itt az elemzők egyetértenek abban, hogy sokkal nagyobb a visszaélés lehetősége.

Sok vállalatnál az egyik lehetséges támadási vektor a cég alkalmazottai, akiket becsaphatnak vagy manipulálhatnak azzal, hogy véletlenül biztosítsanak hozzáférést ott, ahol nem kellene. A hackerek tudják ezt, és rengeteg nagy horderejű social engineering támadás történt, amelyek katasztrofálisnak bizonyultak. Például úgy gondolják, hogy az észak-koreai Lazarus Group indult 2014-es behatolás a Sony rendszereibe – ami kiadatlan filmek és személyes adatok kiszivárogtatását eredményezi – azáltal, hogy kiadja magát egy állásközvetítőnek, és ráveszi a Sony alkalmazottját, hogy nyissa meg a fertőzött fájlt.

Ez az egyik olyan terület, ahol a ChatGPT drámai módon segítheti a hackereket és adathalászokat munkájuk javításában. Ha például az angol nem a fenyegetést jelentő szereplők anyanyelve, akkor egy AI chatbot segítségével meggyőző adathalász e-mailt írhatnak nekik, amely az angolul beszélőket célozza meg. Vagy felhasználható nagyszámú meggyőző üzenet gyors létrehozására, sokkal rövidebb idő alatt, mint amennyire az emberi fenyegetés szereplőinek szüksége lenne ugyanazon feladat elvégzéséhez.

A dolgok még rosszabbra fordulhatnak, ha más AI-eszközöket is bedobnak a keverékbe. Ahogy Karen Renaud, Merrill Warkentin és George Westerman feltételezte Az MIT Sloan Management Review, a csaló létrehozhat egy szkriptet a ChatGPT segítségével, és felolvassa azt telefonon egy mély hamis hanggal, amely egy vállalat vezérigazgatójának adja ki magát. A hívást fogadó vállalati alkalmazott számára a hang úgy szól – és úgy viselkedik –, mint a főnökük. Ha ez a hang arra kérte az alkalmazottat, hogy utaljon át egy pénzösszeget egy új bankszámlára, az alkalmazott könnyen belebukhat a cselbe, mivel tisztelettel fizet a főnökének.

Ahogy Long fogalmaz: „A [fenyegető szereplőknek] többé nem kell saját (gyakran tökéletlen) angoltudásukra hagyatkozniuk, hogy meggyőző átverő e-mailt írjanak. Nem is szabad kitalálniuk a saját okos megfogalmazásukat, és lefuttatniuk a Google Fordítón keresztül. Ehelyett a ChatGPT – teljesen nem tudva a kérés mögött rejlő rosszindulatú szándékról – boldogan leírja a csaló e-mail teljes szövegét bármilyen nyelven.”

És csak néhány ügyes felszólítás szükséges ahhoz, hogy a ChatGPT valóban ezt tegye.

A ChatGPT növelheti a kiberbiztonságot?

Ennek ellenére nem minden rossz. Ugyanazok a tulajdonságok, amelyek a ChatGPT-t vonzó eszközzé teszik a fenyegetések szereplői számára – gyorsasága, képessége, hogy hibákat talál a kódban –, hasznos forrássá teszik a kiberbiztonsági kutatók és vírusirtó cégek számára.

Long rámutat, hogy a kutatók már AI chatbotokat használnak a még fel nem fedezett („nulladik nap”) megtalálására. sérülékenységeket a kódban, egyszerűen csak töltse fel a kódot, és megkéri a ChatGPT-t, hogy lássa, észlel-e bármilyen potenciált gyengeségeit. Ez azt jelenti, hogy ugyanaz a módszer, amely gyengítheti a védelmet, használható a megerősítésükre.

És bár a ChatGPT fő vonzereje a fenyegetés szereplői számára abban rejlik, hogy hihető adathalász üzeneteket tud írni, ugyanezek a tehetségek segíthetnek a vállalatoknak és a felhasználóknak megtanítani arra, hogy mire kell figyelniük a csalás elkerülése érdekében maguk. Használható rosszindulatú programok visszafejtésére is, segítve a kutatókat és a biztonsági cégeket az ellenintézkedések gyors kidolgozásában.

Végső soron a ChatGPT önmagában nem jó vagy rossz. Ahogy Zugec rámutat: „Az az érv, hogy a mesterséges intelligencia elősegítheti a rosszindulatú programok fejlesztését, bármely másra is érvényes lehet technológiai fejlődés, amely a fejlesztők javára vált, például a nyílt forráskódú szoftverek vagy a kódmegosztás platformok.”

Más szóval, amíg a biztosítékok folyamatosan javulnak, addig a fenyegetést még a legjobb AI chatbotok soha nem lesz olyan veszélyes, mint azt nemrégiben jósolták.

Hogyan tartsd magad biztonságban

Ha aggódik a mesterséges intelligencia csevegőrobotjai által jelentett fenyegetések és a rosszindulatú programok miatt, amelyeket visszaélésszerűen létrehozhatnak, néhány lépést megtehet önmaga védelmében. Zugec szerint fontos egy „többrétegű védelmi megközelítés” elfogadása, amely magában foglalja „végponti biztonsági megoldások megvalósítását, a szoftverek és rendszerek megtartását naprakész, és továbbra is ébernek kell maradnia a gyanús üzenetekkel vagy kérésekkel szemben.”

Eközben Long azt javasolja, hogy kerülje el azokat a fájlokat, amelyeket a rendszer automatikusan felkér a telepítésre, amikor meglátogat egy webhelyet. Ha egy alkalmazás frissítéséről vagy letöltéséről van szó, szerezze be azt a hivatalos alkalmazásboltból vagy a szoftvergyártó webhelyéről. Legyen óvatos, amikor a keresési eredményekre kattint vagy bejelentkezik egy webhelyre – a hackerek egyszerűen fizethetnek azért, hogy átverő webhelyeiket a keresési eredmények tetejére helyezzék, és ellopják az Ön bejelentkezési adatait gondosan kidolgozott, hasonlatos weboldalak.

A ChatGPT nem vezet sehova, és a rosszindulatú programok sem, amelyek annyi kárt okoznak az egész világon. Bár a ChatGPT kódolási képességéből fakadó veszély egyelőre túlzott mértékű lehet, az adathalász e-mailek készítésében való jártassága mindenféle fejfájást okozhat. Mégis nagyon is lehetséges, hogy megvédje magát a fenyegetéstől, és biztosítsa, hogy ne essen áldozatul. Jelenleg a rengeteg óvatosság – és egy szilárd víruskereső alkalmazás – segíthet megőrizni az eszközök biztonságát.

Szerkesztői ajánlások

• A Google Bard már beszélni tud, de ki tudja-e fojtani a ChatGPT-t?
• A ChatGPT webhely forgalma először csökkent
• Az Apple ChatGPT riválisa automatikusan kódot írhat helyetted
• A New York-i ügyvédeket pénzbírsággal sújtották, mert hamis ChatGPT-ügyeket használtak jogi röviden
• Ez a webböngésző lenyűgöző új módon integrálja a ChatGPT-t