Чи є ChatGPT катастрофою кібербезпеки? Ми запитали експертів

ChatGPT відчуває себе досить неминучим прямо зараз, з історіями дивуючись його здібностям здається скрізь, куди не глянь. Ми побачили, як він може писати музику, відтворювати 3D-анімацію та складати музику. Якщо ви думаєте про це, ChatGPT, ймовірно, зможе спробувати це.

І саме в цьому проблема. У технічному співтоваристві зараз є всілякі суперечки, і коментатори часто хвилюються, що штучний інтелект призвести до апокаліпсису зловмисного програмного забезпечення, коли навіть найбільш зеленопальці хакери створюють нестримні трояни та програми-вимагачі.

Але чи це правда? Щоб з’ясувати це, я поспілкувався з кількома експертами з кібербезпеки, щоб дізнатися, що вони зробили зі зловмисними можливостями ChatGPT, чи були вони занепокоєні можливістю його неправильного використання, і що ви можете зробити, щоб захистити себе в цьому новому світанку світ.

Сумнівні здібності

Однією з головних переваг ChatGPT є його здатність виконувати складні завдання за допомогою лише кількох простих підказок, особливо у світі програмування. Є побоювання, що це знизить бар’єри для створення шкідливого програмного забезпечення, потенційно ризикуючи розповсюдженням авторів вірусів, які покладаються на інструменти ШІ, щоб виконувати важку роботу за них.

Джошуа Лонг, головний аналітик безпеки охоронної фірми Intego, ілюструє цю тезу. «Як будь-який інструмент у фізичному чи віртуальному світі, комп’ютерний код можна використовувати як на благо, так і на зло», — пояснює він. «Якщо ви запитуєте код, який може зашифрувати файл, наприклад, такий бот, як ChatGPT, не може знати ваші справжні наміри. Якщо ви стверджуєте, що вам потрібен код шифрування для захисту ваших власних файлів, бот вам повірить, навіть якщо вашою справжньою метою є створення програм-вимагачів».

ChatGPT має різні засоби захисту для боротьби з подібними речами, і хитрість для творців вірусів полягає в обході цих огорож. Прямо попросіть ChatGPT створити ефективний вірус, і він просто відмовиться, вимагаючи від вас проявити креативність, щоб перехитрити його та змусити його виконувати ваші ставки всупереч його розуму. Враховуючи те, що люди вміють робити джейлбрейки в ChatGPT, можливість створення шкідливого програмного забезпечення за допомогою штучного інтелекту теоретично здається можливою. Насправді, це вже було продемонстровано, тому ми знаємо, що це можливо.

Але не всі панікують. Мартін Зугек, директор з технічних рішень Bitdefender, вважає, що ризики все ще досить невеликі. «Більшість початківців авторів шкідливих програм навряд чи володіють навичками, необхідними для обходу цих засобів безпеки заходи, і тому ризик, створений зловмисним програмним забезпеченням, створеним чат-ботами, наразі залишається відносно низьким», – сказав він каже.

«Останнім часом зловмисне програмне забезпечення, створене чат-ботами, було популярною темою для обговорення, — продовжує Зугек, — але зараз існує немає доказів того, що це становить значну загрозу в найближчому майбутньому». І на це є проста причина. За словами Зугека, «якість шкідливого програмного коду, створеного чат-ботами, як правило, низька, що робить його менш привабливий варіант для досвідчених розробників шкідливих програм, які можуть знайти кращі приклади у загальнодоступному коді сховища».

Отже, змусити ChatGPT створювати шкідливий код, безумовно, можливо, будь-хто, хто має відповідні навички Зугек, необхідний для маніпулювання чат-ботом штучного інтелекту, швидше за все, не вразить поганий код, який він створює. вірить.

Але, як ви могли здогадатися, генеративний ШІ тільки починає працювати. І за Лонгом це означає, що ризики злому, які створює ChatGPT, ще не висічені в камені.

«Цілком можливо, що зростання ботів ШІ на базі LLM може призвести до невеликого чи помірного збільшення кількості нових зловмисних програм або покращення шкідливих програм. можливості й ухилення від антивірусу», — каже Лонг, використовуючи абревіатуру для великих мовних моделей, які інструменти ШІ, такі як ChatGPT, використовують для створення своїх знання. «Однак на даний момент неясно, наскільки інструменти прямого впливу, такі як ChatGPT, справляють або справлятимуть на загрози зловмисного програмного забезпечення в реальному світі».

Друг рибалки

Якщо навички ChatGPT із написання коду ще не на належному рівні, чи може це становити загрозу іншими способами, наприклад, написанням ефективніших кампаній із фішингу та соціальної інженерії? Тут аналітики погоджуються, що існує набагато більше можливостей для зловживання.

Для багатьох компаній одним із потенційних векторів атаки є співробітники фірми, яких можна обманом або маніпуляціями змусити ненавмисно надати доступ там, де вони не повинні. Хакери це знають, і було багато резонансних атак соціальної інженерії, які виявилися катастрофічними. Наприклад, вважається, що північнокорейська Lazarus Group почала свою діяльність 2014 вторгнення в системи Sony — що призводить до витоку неопублікованих фільмів та особистої інформації — видаючи себе за рекрутера та змушуючи співробітника Sony відкрити заражений файл.

Це одна з областей, де ChatGPT може значно допомогти хакерам і фішерам покращити свою роботу. Наприклад, якщо англійська мова не є рідною для зловмисників, вони можуть використовувати чат-бота зі штучним інтелектом, щоб написати для них переконливий фішинговий електронний лист, призначений для англомовних. Або його можна використати для швидкого створення великої кількості переконливих повідомлень за набагато менший час, ніж це знадобилося б акторам-людям, щоб виконати те саме завдання.

Ситуація може стати ще гіршою, якщо до цієї суміші додати інші інструменти ШІ. Як постулювали Карен Рено, Мерріл Варкентін і Джордж Вестерман Огляд управління Sloan від MIT, шахрай може створити сценарій за допомогою ChatGPT і прочитати його по телефону голосом deepfake, який видає себе за генерального директора компанії. Для співробітника компанії, який отримав дзвінок, голос звучав би — і поводився б — так само, як його начальник. Якщо цей голос попросив працівника перерахувати суму грошей на новий банківський рахунок, працівник цілком може потрапити на хитрість через пошану, яку вони виявляють своєму начальнику.

Як каже Лонг, «[акторам загроз] більше не потрібно покладатися на власні (часто недосконалі) знання англійської мови, щоб написати переконливий шахрайський електронний лист. Вони також не повинні придумувати власні розумні формулювання та запускати їх через Google Translate. Натомість ChatGPT — абсолютно не знаючи про потенціал зловмисних намірів, що стоїть за запитом — із задоволенням напише весь текст шахрайського електронного листа будь-якою мовою».

І все, що потрібно, щоб змусити ChatGPT це зробити, — це розумна підказка.

Чи може ChatGPT підвищити вашу кібербезпеку?

Проте не все так погано. Ті самі риси, які роблять ChatGPT привабливим інструментом для загроз — його швидкість, здатність знаходити недоліки в коді — роблять його корисним ресурсом для дослідників кібербезпеки та антивірусних фірм.

Лонг зазначає, що дослідники вже використовують чат-боти штучного інтелекту для пошуку ще невідкритих («нульового дня») уразливостей у коді, просто завантаживши код і запитавши ChatGPT, щоб перевірити, чи може він виявити будь-які потенційні слабкі сторони. Це означає, що та сама методологія, яка може послабити захист, може бути використана для їх зміцнення.

І хоча головна привабливість ChatGPT для зловмисників може полягати в його здатності писати правдоподібні фішингові повідомлення, ці ж таланти можуть допомогти навчити компаніям і користувачам, на що слід звернути увагу, щоб уникнути шахрайства себе. Його також можна використовувати для зворотного проектування зловмисного програмного забезпечення, допомагаючи дослідникам і охоронним компаніям швидко розробити контрзаходи.

Зрештою, ChatGPT сам по собі не є добрим чи поганим. Як зазначає Зугек, «аргумент про те, що штучний інтелект може сприяти розробці зловмисного програмного забезпечення, може бути застосований до будь-якого іншого технологічний прогрес, який приніс користь розробникам, наприклад програмне забезпечення з відкритим кодом або спільне використання коду платформи».

Іншими словами, поки гарантії вдосконалюються, загроза, яку створює навіть найкращі чат-боти AI може ніколи не стати таким небезпечним, як нещодавно передбачалося.

Як захистити себе

Якщо ви стурбовані загрозами, створеними чат-ботами зі штучним інтелектом, і зловмисним програмним забезпеченням, яке вони створюють, ви можете зробити кілька кроків, щоб захистити себе. Зугек каже, що важливо прийняти «багаторівневий підхід до захисту», який включає «впровадження рішень безпеки кінцевих точок, збереження програмного забезпечення та систем в актуальному стані, а також пильність щодо підозрілих повідомлень або запитів».

Лонг тим часом рекомендує уникати файлів, які вам автоматично пропонують встановити під час відвідування веб-сайту. Якщо потрібно оновити або завантажити програму, завантажте її з офіційного магазину програм або веб-сайту постачальника програмного забезпечення. І будьте обережні, натискаючи результати пошуку або входячи на веб-сайт — хакери можуть просто заплатити за розміщення своїх шахрайських сайтів у верхній частині результатів пошуку та викрасти вашу реєстраційну інформацію за допомогою ретельно створені схожі веб-сайти.

ChatGPT нікуди не дінеться, як і зловмисне програмне забезпечення, яке завдає стільки шкоди по всьому світу. Хоча загроза від здатності кодування ChatGPT наразі перебільшена, його майстерність у створенні фішингових електронних листів може викликати всілякі головні болі. Проте дуже можливо захистити себе від загрози, яку він представляє, і переконатися, що ви не станете жертвою. Прямо зараз велика обережність і надійний антивірусний додаток можуть допомогти зберегти ваші пристрої в безпеці.

Рекомендації редакції

• Google Bard тепер може говорити, але чи може він заглушити ChatGPT?
• Трафік веб-сайту ChatGPT впав вперше
• Конкурент Apple ChatGPT може автоматично написати код для вас
• Юристів Нью-Йорка оштрафовано за використання підроблених справ ChatGPT у юридичній довідці
• Цей веб-браузер інтегрує ChatGPT у новий захоплюючий спосіб