chatgpt-si-mai-multe-ce-inseamna-botii-de-chat-ai-pentru-viitorul-securitatii-cibernetice

chatgpt-homepage-on-a-laptop-screen.jpg

De la sarcini relativ simple, cum ar fi compunerea de e-mailuri, la sarcini mai complexe, inclusiv scrierea de eseuri sau compilarea de cod, ChatGPT - instrumentul de procesare a limbajului natural bazat pe inteligenta artificiala creat de OpenAI - a starnit un interes enorm de la lansarea sa.

Nu este deloc perfect, desigur - este cunoscut faptul că produce greșeli și erori în momentul în care interpretează informațiile din care învață, dar mulți îl consideră, împreună cu alte instrumente de inteligenta artificiala, ca fiind viitorul mod în care vom utiliza internetul.

Termenii de utilizare ai OpenAI pentru ChatGPT interzic în mod specific generarea de malware, inclusiv ransomware, keyloggers, viruși sau "alte software-uri destinate să cauzeze un anumit grad de daune". De asemenea, interzic încercările de creare a spamului, precum și scopurile legate de infracțiuni informatice.

Dar, la fel ca orice tehnologie online inovatoare, există deja oameni care experimentează cum ar putea exploata ChatGPT în scopuri mai întunecate.

După lansare, nu a durat mult până când criminalii cibernetici au început să posteze mesaje pe forumurile subterane despre cum ChatGPT poate fi folosit pentru a facilita activități cibernetice malicioase, cum ar fi scrierea de e-mailuri de pescuit sau ajutarea la compilarea de programe malware.

Și există preocupări că infractorii vor încerca să utilizeze ChatGPT și alte instrumente AI, cum ar fi Google Bard, ca parte a eforturilor lor. În timp ce aceste instrumente AI nu vor revoluționa atacurile cibernetice, totuși, ar putea ajuta infractorii cibernetici - chiar și în mod accidental - să desfășoare campanii malitioase mai eficient.

"Nu cred că, cel puțin în termen scurt, ChatGPT va crea tipuri complet noi de atacuri. Accentul va fi pus pe eficientizarea activităților lor de zi cu zi," spune Sergey Shykevich, managerul grupului de informații despre amenințări la Check Point, o companie de securitate cibernetică.

De asemenea: Ce este ChatGPT și de ce contează? Aici găsești tot ce trebuie să știi

Atacurile de phishing reprezintă cea mai comună componentă a campaniilor de hacking și fraudă malefică. Fie că atacatorii trimit e-mailuri pentru a distribui malware, linkuri de phishing sau sunt folosiți pentru a convinge o victimă să transfere bani, e-mailul reprezintă instrumentul cheie în constrângerea inițială.

Această dependență de e-mail înseamnă că bandele de infractori au nevoie de un flux constant de conținut clar și utilizabil. În multe cazuri - în special în cazul pescuitului - scopul atacatorului este de a convinge un om să facă ceva, cum ar fi să transfere bani. Din fericire, multe dintre aceste încercări de pescuit sunt ușor de recunoscut ca spam în prezent. Dar un software eficient de redactare automată ar putea face ca aceste e-mailuri să fie mai convingătoare.

Criminalitatea cibernetică este o industrie globală, cu infractori din diferite țări care trimit e-mailuri de pescuit informativ potențialilor ținte din întreaga lume. Aceasta înseamnă că limba poate fi o piedică, mai ales pentru campaniile de spear-phishing mai sofisticate care se bazează pe faptul că victimele cred că vorbesc cu un contact de încredere - și este puțin probabil ca cineva să creadă că vorbește cu un coleg dacă e-mailurile sunt pline de erori gramaticale și de ortografie neobișnuite sau cu punctuație stranie.

Dar dacă IA este exploatată corect, un chatbot ar putea fi folosit pentru a scrie texte pentru e-mailuri în orice limbă preferă atacatorul.

"Marea bariere pentru criminalii cibernetici ruși este limba - engleza", spune Shykevich. "Acum angajează absolvenți ai facultăților de studii engleze din colegiile rusești să scrie pentru email-uri de phishing și să lucreze în centre de apel - și trebuie să plătească bani pentru asta."

El continuă: "Ceva ca ChatGPT le poate economisi multă bani în crearea unei varietăți de mesaje de pescuit electronic diferite. Poate doar să le îmbunătățească viața. Cred că asta este calea pe care o vor căuta."

imagine-inregistrare-chatgpt.jpg

În teorie, există protecții în loc care sunt concepute pentru a preveni abuzul. De exemplu, ChatGPT cere utilizatorilor să înregistreze o adresă de email și, de asemenea, solicită un număr de telefon pentru a verifica înregistrarea.

Și în timp ce ChatGPT va refuza să scrie e-mailuri de pescuit, este posibil să îi ceri să creeze șabloane de e-mail pentru alte mesaje, care sunt în mod obișnuit exploatate de atacatorii cibernetici. Acest efort ar putea include mesaje precum pretinderea că se oferă un bonus anual, că trebuie descărcată și instalată o actualizare importantă a software-ului sau că trebuie să se verifice un document atașat cu maximum de urgentă.

"Crearea unui email pentru a convinge pe cineva să facă clic pe un link pentru a obține ceva, cum ar fi o invitație la conferință - este destul de bun, iar dacă ești un vorbitor non-nativ de limba engleză, acesta arată foarte bine", spune Adam Meyers, vicepreședinte senior de informații la Crowdstrike, furnizor de securitate cibernetică și informații privind amenințările.

"Puteți să creați o invitație frumos formulată, corect gramatical, pe care nu ați putea să o faceți în mod necesar dacă nu ați fi vorbitor nativ de limba engleză."

Dar abuzul acestor instrumente nu este exclusiv pentru e-mail; infractorii le-ar putea utiliza pentru a scrie scripturi pentru orice platformă online bazată pe text. Pentru atacatori care desfășoară înșelăciuni sau chiar grupuri avansate de amenințări cibernetice care încearcă să desfășoare campanii de spionaj, aceasta ar putea fi o unealtă utilă - în special pentru crearea de profiluri sociale false pentru a atrage persoanele.

"Dacă doriți să generați absurdități plauzibile în limbajul de afaceri pentru LinkedIn, pentru a părea că sunteți o persoană de afaceri reală încercând să facă conexiuni, ChatGPT este excelent pentru asta", afirmă Kelly Shortridge, expertă în securitate cibernetică și tehnolog principal de produs la furnizorul de servicii cloud Fastly.

Diverse grupuri de hackeri încearcă să exploateze LinkedIn și alte platforme de socializare ca instrumente pentru conducerea campaniilor de cyber-espionaj. Dar crearea de profiluri online false, dar care par legitime - și umplerea acestora cu postări și mesaje - este un proces consumator de timp.

Shortridge consideră că atacatorii ar putea utiliza instrumente AI precum ChatGPT pentru a scrie conținut convingător, având în același timp avantajul de a fi mai puțin laborioase decât efectuarea manuală a muncii.

"Multe dintre aceste campanii de manipulare socială necesită un efort considerabil, deoarece trebuie să creați acele profiluri," afirmă ea, argumentând că instrumentele de inteligentă artificială ar putea reduce considerabil obstacolele de acces.

"Sunt sigură că ChatGPT ar putea scrie postări foarte convingătoare despre liderul gândirii," spune ea.

Natura inovației tehnologice înseamnă că, ori de câte ori apare ceva nou, vor exista întotdeauna cei care încearcă să o exploateze în scopuri malefice. Și chiar și cu cele mai inovatoare mijloace de prevenire a abuzului, caracterul șiret al infractorilor cibernetici și al escrocilor înseamnă că este foarte probabil să găsească modalități de a ocoli protecțiile.

"Nu există niciun fel de modalitate de a elimina complet abuzul la zero. Acest lucru nu s-a întâmplat niciodată cu niciun sistem", spune Shykevich, care speră că evidențierea potențialelor probleme de securitate cibernetică va duce la mai multe discuții cu privire la modul de prevenire a exploatării chatbot-urilor de inteligență artificială în scopuri greșite.

"Este o tehnologie grozavă - dar, ca întotdeauna în cazul noilor tehnologii, există riscuri și este important să le discutăm pentru a fi conștienți de ele. Și cred că cu cât discutăm mai mult, cu atât e mai probabil ca OpenAI și companii similare să investească mai mult în reducerea abuzului", sugerează el.

Există și avantaje pentru securitatea cibernetică în cazul chatbot-urilor cu IA, cum ar fi ChatGPT. Ele sunt deosebit de bune în a se ocupa și a înțelege codul, deci există potențialul de a le folosi pentru a ajuta apărătorii să înțeleagă malware-ul. Deoarece pot și scrie cod, este posibil ca, prin asistarea dezvoltatorilor în proiectele lor, aceste instrumente să ajute la crearea unui cod mai bun și mai sigur mai rapid, ceea ce este benefic pentru toată lumea.

Așa cum a scris Jeff Pollard, analist principal la Forrester, ChatGPT ar putea oferi o reducere masivă a timpului necesar pentru elaborarea rapoartelor de incidente de securitate.

"Finalizarea task-urilor mai rapid înseamnă mai mult timp pentru alte activități - testare, evaluare, investigație și răspuns, toate ajută echipele de securitate să se dezvolte", menționează el, adăugând că un robot ar putea sugera acțiunile recomandate următoare în funcție de datele disponibile.

"Dacă orchestarea securității, automatizarea și răspunsul sunt configurate corect pentru a accelera recuperarea artefactelor, aceasta ar putea accelera detectarea și răspunsul și ar ajuta analiștii centrului de operațiuni de securitate să ia decizii mai bune", spune el.

Deci, chatbot-urile ar putea face viața mai grea pentru unii în domeniul securității cibernetice, dar ar putea exista și avantaje în unele cazuri.

ZDNET a contactat OpenAI pentru a comenta, dar nu a primit un răspuns. Cu toate acestea, ZDNET a întrebat ChatGPT ce reguli are în loc pentru a preveni utilizarea sa în scopuri de phishing - și am obținut următorul text.

"Este important de menționat că, în timp ce modelele de limbaj AI, cum ar fi ChatGPT, pot genera text similar e-mail-urilor de phishing, ele nu pot desfășura acțiuni malitioase de una singură și necesită intenția și acțiunile unui utilizator pentru a provoca daune. Prin urmare, este important ca utilizatorii să fie precauți și să manifeste judecată bună atunci când utilizează tehnologia AI și să fie vigilenți în protecția împotriva activităților de phishing și a altor acțiuni malitioase."

Articole asociate

Vizualizați mai multe >>

Deblocați puterea AI cu HIX.AI!