Je ChatGPT katastrofa kibernetske varnosti? Vprašali smo strokovnjake

ChatGPT se zdi, da je zdaj z zgodbami precej neizogibno se čudi njegovim sposobnostim navidez kamor koli pogledaš. Videli smo, kako lahko piše glasbo, upodablja 3D animacije in sklada glasbo. Če se spomnite tega, lahko ChatGPT verjetno poskusi.

In ravno to je problem. Trenutno je v tehnološki skupnosti najrazličnejše pretresanje, pri čemer komentatorje pogosto skrbi, da je umetna inteligenca privede do apokalipse zlonamerne programske opreme, saj tudi najbolj zeleni prsti hekerji pričarajo neustavljive trojance in izsiljevalsko programsko opremo.

Toda ali je to dejansko res? Da bi izvedel, sem se pogovarjal s številnimi strokovnjaki za kibernetsko varnost, da bi videl, kaj so naredili o zmožnostih zlonamerne programske opreme ChatGPT, ali so bili zaskrbljeni zaradi možnosti zlorabe in kaj lahko storite, da se zaščitite v tej novosti svetu.

Vprašljive sposobnosti

Ena od glavnih zanimivosti ChatGPT je njegova sposobnost opravljanja zapletenih nalog z le nekaj preprostimi pozivi, zlasti v svetu programiranja. Strah je, da bi to znižalo vstopne ovire za ustvarjanje zlonamerne programske opreme, kar bi lahko tvegalo širjenje piscev virusov, ki se zanašajo na orodja AI, da namesto njih opravijo težka dela.

Joshua Long, glavni varnostni analitik pri varnostnem podjetju Intego, ponazarja to tezo. "Kot vsako orodje v fizičnem ali virtualnem svetu je tudi računalniško kodo mogoče uporabiti za dobro ali za zlo," pojasnjuje. »Če na primer zahtevate kodo, ki lahko šifrira datoteko, bot, kot je ChatGPT, ne more vedeti vašega pravega namena. Če trdite, da potrebujete šifrirno kodo za zaščito lastnih datotek, vam bo bot verjel – tudi če je vaš pravi cilj ustvarjanje izsiljevalske programske opreme.«

ChatGPT ima na voljo različne zaščitne ukrepe za boj proti tovrstnim stvarem in trik za ustvarjalce virusov je v tem, da zaobidejo te zaščitne ograje. Odkrito prosite ChatGPT, naj ustvari učinkovit virus, in preprosto vas bo zavrnil, od vas pa bo zahtevala, da postanete ustvarjalni, da ga prelisičite in pripravite do tega, da izpolni vaše želje proti njegovi boljši presoji. Glede na to, kaj ljudje zmorejo pobeg iz zapora v ChatGPT, se zdi možnost ustvarjanja zlonamerne programske opreme z uporabo umetne inteligence teoretično možna. Pravzaprav, je že dokazano, zato vemo, da je to mogoče.

A vsi niso panični. Martin Žugec, direktor tehničnih rešitev pri Bitdefenderju, meni, da so tveganja še vedno dokaj majhna. »Večina piscev zlonamerne programske opreme začetnikov verjetno ne bo imela potrebnih veščin, da bi obšla to varnost ukrepov, zato je tveganje, ki ga predstavlja zlonamerna programska oprema, ki jo ustvari chatbot, trenutno razmeroma nizko,« je dejal pravi.

»Zlonamerna programska oprema, ki jo ustvarijo klepetalniki, je bila v zadnjem času priljubljena tema razprav,« nadaljuje Zugec, »vendar trenutno obstaja ni dokazov, ki bi kazali, da predstavlja pomembno grožnjo v bližnji prihodnosti.« In za to obstaja preprost razlog. Zugec pravi, da je »kakovost kode zlonamerne programske opreme, ki jo ustvarijo klepetalni roboti, nizka, zaradi česar je manj privlačna možnost za izkušene pisce zlonamerne programske opreme, ki lahko najdejo boljše primere v javni kodi repozitorije."

Torej, medtem ko je ChatGPT pridobiti za izdelavo zlonamerne kode zagotovo mogoče, vsakdo, ki ima veščine Zugec, ki je potreben za manipulacijo klepetalnega robota AI, verjetno ne bo navdušen nad slabo kodo, ki jo ustvari verjame.

A kot morda ugibate, je generativni AI šele na začetku. In za dolgo to pomeni, da tveganja vdorov, ki jih predstavlja ChatGPT, še niso začrtana.

»Možno je, da lahko porast robotov AI, ki temeljijo na LLM, povzroči majhno do zmerno povečanje števila novih zlonamernih programov ali izboljšanje zlonamerne programske opreme zmožnosti in izogibanju protivirusnim programom,« pravi Long in uporablja akronim za velike jezikovne modele, ki jih orodja AI, kot je ChatGPT, uporabljajo za izgradnjo znanja. "Vendar na tej točki ni jasno, kolikšen neposreden vpliv imajo orodja, kot je ChatGPT, ali bodo imela na grožnje zlonamerne programske opreme v resničnem svetu."

Ribičev prijatelj

Če veščine pisanja kode ChatGPT še niso na pravem nivoju, bi lahko bila grožnja na druge načine, na primer s pisanjem učinkovitejših kampanj za lažno predstavljanje in socialni inženiring? Tu se analitiki strinjajo, da obstaja veliko več možnosti za zlorabo.

Za številna podjetja so eden od potencialnih vektorjev napada zaposleni v podjetju, ki jih je mogoče pretentati ali zmanipulirati, da nehote omogočijo dostop tam, kjer ne bi smeli. Hekerji se tega zavedajo in bilo je veliko odmevnih napadov socialnega inženiringa, ki so se izkazali za katastrofalne. Na primer, domneva se, da je severnokorejska skupina Lazarus začela svojo 2014 vdor v Sonyjeve sisteme — kar povzroči uhajanje neobjavljenih filmov in osebnih podatkov — tako, da se lažno predstavlja kot iskalec zaposlitve in prisili zaposlenega Sonyja, da odpre okuženo datoteko.

To je eno od področij, kjer bi lahko ChatGPT dramatično pomagal hekerjem in lažnim predstavljanjem izboljšati njihovo delo. Če na primer angleščina ni materni jezik akterja grožnje, bi lahko uporabili klepetalni robot z umetno inteligenco, da bi zanje napisali prepričljivo lažno e-poštno sporočilo, ki je namenjeno angleško govorečim. Lahko pa bi ga uporabili za hitro ustvarjanje velikega števila prepričljivih sporočil v veliko krajšem času, kot bi za isto nalogo potrebovali akterji človeških groženj.

Stvari bi se lahko še poslabšale, če bi v mešanico vključili druga orodja AI. Kot so trdili Karen Renaud, Merrill Warkentin in George Westerman MIT's Sloan Management Review, lahko goljuf ustvari skript z uporabo ChatGPT in ga po telefonu prebere glas deepfake, ki se predstavlja kot izvršni direktor podjetja. Za zaposlenega v podjetju, ki prejme klic, bi glas zvenel - in deloval - tako kot njihov šef. Če bi ta glas od zaposlenega zahteval, naj nakaže vsoto denarja na nov bančni račun, bi zaposleni lahko nasedel zvijači zaradi spoštovanja, ki ga izkazuje svojemu šefu.

Kot pravi Long, »se [akterjem grožnje] ni več treba zanašati na lastno (pogosto nepopolno) znanje angleščine, da bi napisali prepričljivo prevarantsko e-pošto. Prav tako si ne smejo izmisliti lastnega pametnega besedila in ga predvajati prek Google Prevajalnika. Namesto tega bo ChatGPT – ki se sploh ne zaveda potenciala zlonamernega namena v ozadju zahteve – z veseljem napisal celotno besedilo prevarantskega e-poštnega sporočila v katerem koli želenem jeziku.«

In vse, kar je potrebno, da ChatGPT to dejansko stori, je nekaj pametnega poziva.

Ali lahko ChatGPT poveča vašo kibernetsko varnost?

Vendar pa ni vse slabo. Iste lastnosti, zaradi katerih je ChatGPT privlačno orodje za akterje groženj – njegova hitrost, njegova sposobnost iskanja napak v kodi – ga naredijo koristen vir za raziskovalce kibernetske varnosti in protivirusna podjetja.

Long poudarja, da raziskovalci že uporabljajo klepetalne robote z umetno inteligenco za iskanje še neodkritih (»zero-day«) ranljivosti v kodi, preprosto tako, da naložite kodo in vprašate ChatGPT, da preveri, ali lahko opazi morebitne slabosti. To pomeni, da se lahko ista metodologija, ki bi lahko oslabila obrambo, uporabi za njihovo podporo.

In medtem ko je ChatGPT glavna privlačnost za akterje groženj morda v njegovi zmožnosti pisanja verjetnih lažnih sporočil, ti isti talenti lahko pomagajo usposobiti podjetja in uporabnike, na kaj morajo biti pozorni, da se izognejo goljufanju sebe. Lahko bi ga uporabili tudi za obratno inženirstvo zlonamerne programske opreme, kar bi raziskovalcem in varnostnim podjetjem pomagalo pri hitrem razvoju protiukrepov.

Navsezadnje ChatGPT sam po sebi ni dober ali slab. Kot poudarja Zugec, »argument, da lahko umetna inteligenca olajša razvoj zlonamerne programske opreme, lahko velja za katerega koli drugega tehnološki napredek, ki je koristil razvijalcem, kot je odprtokodna programska oprema ali deljenje kode platforme."

Z drugimi besedami, dokler se zaščitni ukrepi izboljšujejo, grožnja, ki jo predstavlja celo najboljši klepetalni roboti AI morda ne bo nikoli postala tako nevarna, kot je bilo nedavno napovedano.

Kako se zaščititi

Če ste zaskrbljeni zaradi groženj, ki jih predstavljajo klepetalni roboti z umetno inteligenco, in zlonamerne programske opreme, ki jo lahko zlorabijo za ustvarjanje, lahko naredite nekaj korakov, da se zaščitite. Zugec pravi, da je pomembno sprejeti "večplastni obrambni pristop", ki vključuje "izvajanje varnostnih rešitev za končne točke, ohranjanje programske opreme in sistemov do datuma, in ostati pozoren na sumljiva sporočila ali zahteve.«

Long medtem priporoča, da se izogibate datotekam, ki ste samodejno pozvani, da jih namestite, ko obiščete spletno mesto. Če želite posodobiti ali prenesti aplikacijo, jo dobite v uradni trgovini z aplikacijami ali na spletnem mestu prodajalca programske opreme. In bodite previdni pri klikanju rezultatov iskanja ali prijavi na spletno mesto – hekerji lahko preprosto plačajo, da njihova spletna mesta s prevarami postavijo na vrh rezultatov iskanja in ukradejo vaše prijavne podatke z skrbno izdelana podobna spletna mesta.

ChatGPT ne gre nikamor, prav tako ne zlonamerna programska oprema, ki povzroča toliko škode po vsem svetu. Medtem ko je grožnja zmožnosti kodiranja ChatGPT za zdaj morda pretirana, bi lahko njegova usposobljenost za ustvarjanje e-poštnih sporočil z lažnim predstavljanjem povzročila vse vrste preglavic. Kljub temu se je zelo mogoče zaščititi pred grožnjo, ki jo predstavlja, in zagotoviti, da ne postanete žrtev. Trenutno lahko obilica previdnosti – in zanesljiva protivirusna aplikacija – pomagata ohraniti vaše naprave varne in zdrave.

Priporočila urednikov

• Google Bard lahko zdaj govori, a ali lahko preglasi ChatGPT?
• Obisk spletnega mesta ChatGPT je prvič upadel
• Appleov tekmec ChatGPT lahko samodejno napiše kodo za vas
• Odvetniki iz New Yorka so bili kaznovani zaradi uporabe ponarejenih primerov ChatGPT v pravnih navodilih
• Ta spletni brskalnik integrira ChatGPT na zanimiv nov način