chatgpt-and-more-what-ai-chatbots-mean-for-the-future-of-cybersecurity

chatgpt-strona-startowa-na-ekranie-laptopa.jpg

Od stosunkowo prostych zadań, takich jak pisanie e-maili, po bardziej złożone zadania, takie jak pisanie esejów czy kompilacja kodu, ChatGPT - narzędzie do przetwarzania języka naturalnego napędzane przez sztuczną inteligencję od OpenAI - cieszy się ogromnym zainteresowaniem od momentu swojego uruchomienia.

To jednak na pewno nie jest doskonałe -- wiadomo, że popełnia błędy i pomyłki interpretując informacje, z których się uczy, ale wielu widzi to, jak i inne narzędzia AI, jako przyszłość sposobu, w jaki korzystamy z internetu.

Warunki korzystania z usługi ChatGPT firmy OpenAI szczegółowo zakazują generowania złośliwego oprogramowania, w tym ransomware'u, programów do rejestrowania klawiszy, wirusów lub „innych programów mających na celu zadanie pewnego poziomu szkody”. Zabraniają również tworzenia spamu oraz przypadków wykorzystania skierowanych przeciwko cyberprzestępczości.

Ale jak w przypadku każdej innowacyjnej technologii internetowej, już są ludzie, którzy eksperymentują z tym, jak mogliby wykorzystać ChatGPT w nieco mniej uczciwy sposób.

Po uruchomieniu, nie minęło dużo czasu, zanim cyberprzestępcy zaczęli publikować wątki na podziemnych forach na temat tego, jak ChatGPT może być wykorzystane do ułatwiania szkodliwej działalności cybernetycznej, takiej jak pisanie phishingowych e-maili czy pomaganie w tworzeniu złośliwego oprogramowania.

A pojawiają się obawy, że oszuści będą próbowali używać ChatGPT i innych narzędzi sztucznej inteligencji, takich jak Google Bard, jako część swoich działań. Podczas gdy te narzędzia sztucznej inteligencji nie zrewolucjonizują cyberataków, mogą wciąż pomagać przestępcom komputerowym - nawet nieumyślnie - w bardziej efektywnym prowadzeniu złośliwych kampanii.

"Nie sądzę, że w krótkim okresie czasu ChatGPT stworzy zupełnie nowe rodzaje ataków. Skupią się na tym, aby ich codzienne działania były bardziej efektywne pod względem kosztów" - mówi Sergey Shykevich, kierownik grupy inteligencji zagrożeń w Check Point, firmie zajmującej się bezpieczeństwem cybernetycznym.

Również: Czym jest ChatGPT i dlaczego ma to znaczenie? Oto wszystko, co musisz wiedzieć

Ataki phishingowe są najczęściej stosowanym składnikiem złośliwych działań hakerskich i oszustw. Bez względu na to, czy atakujący wysyłają wiadomości e-mail w celu rozpowszechniania złośliwego oprogramowania, linków phishingowych czy próbują przekonać ofiarę do przelania pieniędzy, e-mail jest kluczowym narzędziem w początkowej manipulacji.

To poleganie na e-mailu oznacza, że grupy potrzebują stałego źródła treści jasnych i użytecznych. W wielu przypadkach - szczególnie w przypadku phishingu - celem atakującego jest przekonanie człowieka do zrobienia czegoś, na przykład przekazania pieniędzy. Na szczęście wiele z tych prób phishingowych obecnie jest łatwo rozpoznawalne jako spam. Ale skuteczny automatyczny copywriter mógłby uczynić te e-maile bardziej przekonującymi.

Cyberprzestępczość to globalna branża, w której przestępcy z różnych krajów wysyłają e-maile phishingowe do potencjalnych celów na całym świecie. Oznacza to, że język może stanowić przeszkodę, zwłaszcza dla bardziej wyrafinowanych kampanii spear-phishingowych, które opierają się na przekonaniu ofiar, że rozmawiają z zaufanym kontaktem - a nikt nie będzie wierzyć, że rozmawia z kolegą, jeśli wiadomości są pełne nietypowych błędów ortograficznych i gramatycznych lub dziwnych znaków interpunkcyjnych.

Ale jeśli sztuczna inteligencja jest odpowiednio wykorzystana, chatbot może być używany do pisania tekstu dla e-maili w dowolnym języku, który attacker sobie życzy.

"Największą przeszkodą dla rosyjskich cyberprzestępców jest język - angielski" - mówi Shykevich. "Teraz zatrudniają absolwentów studiów anglistycznych w rosyjskich uczelniach, aby pisali fałszywe e-maile phishingowe i pracowali w centrum telefonicznym - i muszą za to płacić."

On kontynuuje: "Coś takiego jak ChatGPT może zaoszczędzić im dużo pieniędzy na tworzenie różnego rodzaju wiadomości phishingowych. To może po prostu poprawić ich życie. Myślę, że to jest droga, której będą szukać."

ekran_logowania_chatgpt.jpg

W teorii istnieją zabezpieczenia, które mają na celu zapobieganie nadużyciom. Na przykład, ChatGPT wymaga od użytkowników rejestracji adresu e-mail oraz podania numeru telefonu w celu zweryfikowania rejestracji.

I podczas gdy ChatGPT będzie odmawiać pisania wiadomości phishingowych, istnieje możliwość poproszenia go o stworzenie szablonów wiadomości e-mail do innych celów, które są powszechnie wykorzystywane przez cyberatakujących. Ten wysiłek może obejmować takie wiadomości, jak informacja o dostępności rocznej premii, konieczność pobrania i zainstalowania ważnej aktualizacji oprogramowania lub konieczność natychmiastowego przejrzenia załączonego dokumentu.

"Tworzenie wiadomości e-mailowej, która przekona kogoś do kliknięcia w link w celu uzyskania czegoś takiego jak zaproszenie na konferencję - wygląda świetnie, a jeśli jesteś osobą mówiącą w języku angielskim jako języku obcym, wygląda to naprawdę dobrze" - mówi Adam Meyers, wiceprezes ds. inteligencji w Crowdstrike, dostawcy usług cyberbezpieczeństwa i analizy zagrożeń.

"Możesz go stworzyć w estetyczny, poprawnie zredagowany sposób, czego niekoniecznie można byłoby dokonać, gdybyś nie był biegłym mówcą języka angielskiego."

Ale nadużywanie tych narzędzi nie dotyczy tylko poczty elektronicznej; przestępcy mogą ich użyć do tworzenia skryptów dla dowolnej platformy online opartej na tekście. Dla oszustów prowadzących oszustwa lub nawet zaawansowanych grup zagrożeń cybernetycznych próbujących prowadzić kampanie szpiegowskie, może to być przydatne narzędzie - zwłaszcza do tworzenia fałszywych profili społecznościowych w celu przyciągnięcia ludzi.

"Jeśli chcesz generować prawdopodobne bełkoty biznesowe na LinkedIn, aby wyglądać jak prawdziwy biznesmen, który stara się nawiązać kontakty, ChatGPT świetnie się do tego nadaje" - mówi Kelly Shortridge, ekspert ds. cyberbezpieczeństwa i starszy główny technolog produktowy w dostawcy usług chmurowych Fastly.

Różne grupy hakerów próbują wykorzystać LinkedIn i inne platformy mediów społecznościowych jako narzędzia do prowadzenia kampanii cyber- szpiegowskich. Jednak tworzenie fałszywych, ale wyglądających na prawdziwe, profili internetowych - i wypełnianie ich postami i wiadomościami - to czasochłonny proces.

Shortridge uważa, że atakujący mogliby używać narzędzi sztucznej inteligencji, takich jak ChatGPT, do pisania przekonujących treści, jednocześnie korzystając z korzyści wynikających z mniejszego nakładu pracy niż w przypadku ręcznego wykonywania zadania.

"Wiele z tych kampanii inżynierii społecznej wymaga dużo wysiłku, ponieważ trzeba tworzyć te profile" - twierdzi, argumentując, że narzędzia AI mogą znacznie obniżyć próg wejścia.

"Jestem pewna, że ChatGPT byłby w stanie napisać bardzo przekonujące i merytoryczne artykuły eksperckie" - mówi ona.

Natura innowacji technologicznych oznacza, że ​​za każdym razem, gdy pojawia się coś nowego, zawsze będą tacy, którzy będą próbowali wykorzystać to w celach szkodliwych. Nawet przy najbardziej innowacyjnych środkach mających na celu zapobieganie nadużyciom, podstępna natura cyberprzestępców i oszustów oznacza, że ​​prawdopodobnie znajdą sposoby na obejście ochrony.

"Nie ma sposobu, aby całkowicie wyeliminować nadużycia do zera. To nigdy się nie zdarzyło w żadnym systemie" - mówi Shykevich, który ma nadzieję, że podkreślanie potencjalnych zagrożeń dotyczących cyberbezpieczeństwa spowoduje większą dyskusję na temat tego, jak zapobiegać wykorzystywaniu chatbotów opartych na sztucznej inteligencji do celów błędnych.

"To jest wspaniała technologia - ale jak zawsze w przypadku nowych technologii, są związane z nią ryzyka i ważne jest, aby o nich dyskutować, aby je zrozumieć. A ja uważam, że im więcej będziemy omawiać, tym bardziej prawdopodobne jest, że OpenAI i podobne firmy zainwestują więcej w ograniczanie nadużyć" - sugeruje.

W przypadku stosowania chatbotów opartych na sztucznej inteligencji, jak ChatGPT, istnieje także korzyść dla cyberbezpieczeństwa. Są one szczególnie dobre w radzeniu sobie i rozumieniu kodu, dlatego istnieje potencjał wykorzystania ich do pomocy obronie w zrozumieniu złośliwego oprogramowania. Ponieważ potrafią również pisać kod, istnieje możliwość, że poprzez wspieranie programistów w ich projektach, te narzędzia mogą pomóc w tworzeniu lepszego i bardziej bezpiecznego kodu szybciej, co jest korzystne dla wszystkich.

Jak niedawno napisał wiodący analityk Forrester, Jeff Pollard, ChatGPT może przynieść ogromną redukcję czasu potrzebnego do sporządzenia raportów zdarzeń związanych z bezpieczeństwem.

"Szybsze wykonanie tych czynności oznacza więcej czasu na inne czynności - testowanie, ocenę, badanie i reagowanie, co wszystko pomaga zespołom ds. bezpieczeństwa skalować" - zauważa on, dodając że bot może sugerować kolejne zalecane działania na podstawie dostępnych danych.

Jeśli orkiestracja bezpieczeństwa, automatyzacja i reagowanie jest poprawnie skonfigurowana w celu przyspieszenia odzyskiwania artefaktów, może to przyspieszyć detekcję i reagowanie oraz pomóc analitykom centrum operacji bezpieczeństwa podejmować lepsze decyzje - mówi.

Więc chatboty mogą sprawić, że praca w dziedzinie cyberbezpieczeństwa stanie się trudniejsza dla niektórych, ale mogą też pojawić się pewne korzyści.

ZDNET skontaktował się z OpenAI w celu uzyskania komentarza, ale nie otrzymał odpowiedzi. Jednak ZDNET zapytał ChatGPT, jakie ma zasady, aby zapobiec nadużyciom w celu wyłudzania danych osobowych - i otrzymaliśmy następujący tekst.

"Warto zauważyć, że choć modele językowe oparte na sztucznej inteligencji, takie jak ChatGPT, mogą generować teksty podobne do wiadomości phishingowych, same nie są w stanie wykonać szkodliwych działań i wymagają intencji i działań użytkownika, aby wyrządzić szkodę. Dlatego ważne jest, aby użytkownicy zachowali ostrożność i zdrowy rozsądek podczas korzystania z technologii opartej na AI i byli czujni w ochronie przed phishingiem i innymi szkodliwymi działaniami."

Powiązane artykuły

Więcej informacji >>

Odblokuj moc AI dzięki HIX.AI!