آیا chatGPT یک ریسک امنیتی است؟
ICTna.ir – سرویس مبتنی بر هوش مصنوعی chatGPT از زمان آغاز به کارش در نوامبر، به تفریح مورد علاقه و جدید کاربران خوره فناوری در اینترنت تبدیل شده است. ابزار پردازش زبان طبیعی مبتنی بر هوش مصنوعی به سرعت بیش از 1 میلیون کاربر را جذب کرد که از چت ربات مبتنی بر وب برای همه چیز از تولید سخنرانی های عروسی و اشعار هیپ هاپ گرفته تا ساخت مقالات دانشگاهی و نوشتن کدهای رایانه ای استفاده کرده اند.
به گزارش گروه اخبار خارجی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا)، سرویس ChatGPT نه تنها تواناییهای انسانمانند اینترنت را تحت تأثیر قرار داده است، بلکه تعدادی از صنایع را نیز در معرض خطر قرار داده: یک مدرسه در نیویورک ChatGPT را به دلیل ترس از استفاده از آن برای تقلب ممنوع کرد، نسخهنویسها در حال حاضر جایگزین شدهاند، و گزارشها ادعا می کند که گوگل آنقدر از قابلیت های ChatGPT نگران است که برای اطمینان از بقای تجارت جستجوی شرکت، یک "کد قرمز" صادر کرده است.
به نظر میرسد صنعت امنیت سایبری، جامعهای که مدتها در مورد پیامدهای بالقوه هوش مصنوعی مدرن تردید داشته، مرکز نگرانیهایی است که مدعی هستند ChatGPT ممکن است توسط هکرهایی با منابع محدود و دانش فنی صفر مورد سوء استفاده قرار گیرد.
تنها چند هفته پس از آغاز به کار ChatGPT، شرکت امنیت سایبری Check Point نشان داد که چگونه چت ربات مبتنی بر وب، زمانی که در کنار کدنویسی OpenAI Codex استفاده میشود، میتواند یک ایمیل فیشینگ ایجاد کند که قادر به حمله مخرب است. سرگئی شیکویچ، مدیر گروه اطلاعاتی تهدیدات چک پوینت، به TechCrunch گفت که او معتقد است موارد استفاده ای از این قبیل نشان میدهد که ChatGPT «پتانسیل تغییر چشمانداز تهدیدات سایبری را دارد».
TechCrunch نوشت که این رسانه آنلاین توانسته با استفاده از ربات چت، یک ایمیل فیشینگ با ظاهر قانونی ایجاد کند: وقتی برای اولین بار از ChatGPT خواستیم یک ایمیل فیشینگ ایجاد کند، chatbot این درخواست را رد کرد و گفت "من برای ایجاد یا تبلیغ محتوای مخرب یا مضر برنامه ریزی نشده ام." اما بازنویسی درخواست به ما این امکان را داد که به راحتی دیواره محافظ داخلی نرم افزار را دور بزنیم.
بسیاری از کارشناسان امنیتی TechCrunch معتقدند که توانایی ChatGPT برای نوشتن ایمیلهای فیشینگ با ظاهری مشروع باعث میشود که این ربات به طور گسترده توسط مجرمان سایبری، بهویژه آنهایی که انگلیسی زبان مادریشان نیستند، مورد استقبال قرار گیرد.
چستر ویسنیفسکی، دانشمند تحقیقاتی در Sophos، گفت : به راحتی می توان دید که ChatGPT برای "انواع حملات مهندسی اجتماعی" مورد سوء استفاده قرار می گیرد، جایی که عاملان آن می خواهند به نظر به انگلیسی قانع کننده تری بنویسند.
در یک سطح ابتدایی، من توانسته ام چند فریب عالی فیشینگ را با آن بنویسم، و من انتظار دارم که بتوان از آن برای مکالمات تعاملی واقعی تر برای به خطر انداختن ایمیل های تجاری و حتی حملات بر روی فیسبوک ، پیام رسان فیس بوک و واتزاپ یا دیگر برنامه های چت استفاده کرد. «در واقع دریافت بدافزار و استفاده از آن، بخش کوچکی از کار بدی است که تبدیل به یک جنایتکار سایبری می شود.»
چک پوینت همچنین زنگ خطر را در مورد توانایی ظاهری چت بات برای کمک به مجرمان سایبری در نوشتن کدهای مخرب به صدا درآورده است. محققان این مرکز می گویند حداقل سه مورد را شاهد بوده اند که هکرهایی بدون هیچ مهارت فنی به خود می بالند که چگونه از هوش مصنوعی ChatGPT برای اهداف مخرب استفاده کرده اند. یکی از هکرها در یک دارک وب کد نوشته شده توسط ChatGPT را به نمایش گذاشت که ظاهراً فایل های مورد نظرش را دزدیده، آنها را فشرده کرده و آنها را در سراسر وب ارسال می کند. کاربر دیگری یک اسکریپت پایتون را ارسال کرد که به ادعای آنها اولین اسکریپتی است که تا به حال ایجاد کرده اند. چک پوینت اشاره کرد که در حالی که کد به نظر خوش خیم به نظر می رسید، می توان آن را «به راحتی تغییر داد تا رایانه شخصی قربانی را کاملاً بدون هیچ گونه تعامل کاربر رمزگذاری کند».
چقدر می تواند سخت باشد؟
دکتر سلیمان اوزارلان، محقق امنیتی و یکی از بنیانگذاران Picus Security، اخیراً به TechCrunch نشان داد که چگونه از ChatGPT برای نوشتن یک فریب فیشینگ با موضوع جام جهانی و نوشتن کد باجافزار هدفدار macOS استفاده میشود. اوزارلان از چت بات خواست تا قبل از رمزگذاری اسناد آفیس در مک بوک، کدی را برای Swift بنویسد،سوئیفت یک زبان برنامه نویسی است که برای توسعه برنامه ها برای دستگاه های اپل استفاده می شود.
اوزارلان گفت: "من شک ندارم که ChatGPT و ابزارهای دیگر مانند این جرایم سایبری را عمومی می کند." این به خیلی بد است که کد باجافزار در حال حاضر برای مردم در دسترس است تا بتوانند از دارک وب خرید کنند. حالا دیگر تقریباً هر کسی می تواند خودش آن را ایجاد کند.
جای تعجب نیست که اخبار مربوط به توانایی ChatGPT برای نوشتن کدهای مخرب، صنعت را به هم ریخت. همچنین دیده شده است که برخی از کارشناسان برای رفع نگرانیها مبنی بر اینکه یک ربات چت هوش مصنوعی میتواند هکرهای بدخواه را به مجرمان سایبری تمام عیار تبدیل کند، حرکت میکنند. در پستی در Mastodon ، محقق امنیتی مستقل Grugq ادعاهای Check Point را به سخره گرفت که ChatGPT "جنایتکاران سایبری را که از کدنویسی سوء استفاده می کنند، متهم می کند."
آنها باید دامنه ها را ثبت کنند و زیرساخت ها را حفظ کنند. آنها باید وبسایتها را با محتوای جدید بهروزرسانی کنند و نرمافزاری را آزمایش کنند که به سختی کار میکند، به سختی روی پلتفرم کمی متفاوت کار میکند. Grugq گفت: آنها باید زیرساخت های خود را برای سلامتی زیر نظر داشته باشند و بررسی کنند که در اخبار چه اتفاقی می افتد تا مطمئن شوند که کمپین آنها در مقاله ای در مورد "5 شرم آورترین فیشینگ فیشینگ" نیست. «در واقع دریافت بدافزار و استفاده از آن، بخش کوچکی از کار بدی است که تبدیل به یک جنایتکار سایبری می شود.»
مدافعان میتوانند از ChatGPT برای تولید کد برای شبیهسازی دشمنان یا حتی خودکارسازی وظایف برای آسانتر کردن کار استفاده کنند. لورا کانکاالا، سرپرست اطلاعات تهدیدات F-Secure، گفت: این قبلاً برای انواع وظایف شاخص و چشمگیر، از جمله آموزش شخصی، تهیه پیش نویس مقالات روزنامه و نوشتن کدهای کامپیوتری استفاده شده است. با این حال، باید توجه داشت که اعتماد کامل به خروجی متن و کد تولید شده توسط ChatGPT میتواند خطرناک باشد – کدی که تولید میکند ممکن است دارای مشکلات امنیتی یا آسیبپذیری باشد. متن تولید شده همچنین میتواند دارای خطاهای واقعی باشد.
این فقط متخصصان امنیتی نیستند که در مورد نقش ChatGPT در آینده امنیت سایبری اختلاف نظر دارند. ما همچنین کنجکاو بودیم که ببینیم ChatGPT چه چیزی برای خودش میگوید وقتی سؤال را برای چت بات مطرح کردیم.
چت بات پاسخ داد: «پیشبینی دقیق نحوه استفاده از ChatGPT یا هر فناوری دیگری در آینده دشوار است، زیرا بستگی به نحوه پیادهسازی آن و اهداف کسانی دارد که از آن استفاده میکنند. در نهایت، تأثیر ChatGPT بر امنیت سایبری به نحوه استفاده از آن بستگی دارد. آگاهی از خطرات احتمالی و اتخاذ گام های مناسب برای کاهش آنها مهم است.»