chatgpt-and-more-what-ai-chatbots-mean-for-the-future-of-cybersecurity

chatgpt-homepage-on-a-laptop-screen.jpg

Od relativně jednoduchých úkolů, jako je psaní e-mailů, až po složitější práce, včetně psaní esejů nebo kompilace kódu, ChatGPT - nástroj pro zpracování přirozeného jazyka poháněný AI od OpenAI - vyvolává obrovský zájem od svého uvedení na trh.

To samozřejmě není dokonalé - známo je, že dělá chyby a omyly při nesprávném interpretování informací, které se učí, ale mnoho lidí to vidí, a také jiné nástroje umělé inteligence, jako budoucnost toho, jak budeme využívat internet.

Obchodní podmínky OpenAI pro ChatGPT specificky zakazují generování malware, včetně ransomware, keyloggerů, virů nebo „jiného softwaru zaměřeného na způsobení nějaké škody“. Zakazuje také pokusy vytvářet spam a používání případů zaměřených na kybernetickou kriminalitu.

Ale jak je tomu s jakoukoli inovativní online technologií, existují již lidé, kteří experimentují s tím, jak by mohli využít ChatGPT pro pochybné účely.

Po spuštění to nezabralo dlouho, než se kybernetickým zločincům začaly objevovat vlákna na podzemních fórech o tom, jak lze využít ChatGPT k podpoře zákeřných kybernetických aktivit, jako je psaní phishingových e-mailů nebo pomoc při sestavování malware.

A existují obavy, že podvodníci se budou pokoušet využít ChatGPT a dalších AI nástrojů, jako je například Google Bard, jako součást svých snah. I když tyto AI nástroje neznamenají revoluci v kybernetických útocích, stále by mohly pomoci kybernetickým zločincům - i neúmyslně - při provádění škodlivých kampaní efektivněji.

"Podle Sergyeje Shykevicha, manažera skupiny pro hrozby ve společnosti Check Point, kybernetické bezpečnosti, nevěřím, že by ChatGPT v blízké budoucnosti vytvořil úplně nové typy útoků. Důraz bude kladen na zefektivnění běžných operací," říká.

Také: Co je ChatGPT a proč je důležitý? Zde najdete vše, co potřebujete vědět.

Phishing útoky jsou nejčastější součástí zákeřných hackerských a podvodných kampaní. Bez ohledu na to, zda útočníci posílají e-maily k distribuci malwaru, phishingovým odkazům, nebo je používají k přesvědčení oběti, aby převedla peníze, e-mail je klíčovým nástrojem při úvodní manipulaci.

Taková závislost na e-mailu znamená, že gangy potřebují neustálý proud srozumitelného a použitelného obsahu. V mnoha případech - zejména při phishingu - je cílem útočníka přesvědčit člověka, aby udělal něco, například převést peníze. Naštěstí je v současné době mnoho těchto pokusů o phishing snadno rozpoznat jako spam. Avšak efektivní automatizovaný copywriter by mohl tyto e-maily více přesvědčivé.

Kyberkriminalita je globálním odvětvím, ve kterém zločinci z různých zemí posílají phishingové e-maily potenciálním cílům po celém světě. To znamená, že jazyková bariéra může být překážkou, zejména při sofistikovanějších kampaních spear-phishingu, které se spoléhají na to, že oběti věří, že hovoří se důvěryhodným kontaktem -- a je nepravděpodobné, že někdo uvěří, že hovoří se spolupracovníkem, pokud jsou e-maily plné necharakteristických gramatických a pravopisných chyb nebo zvláštních interpunkčních znamének.

Ale pokud je AI využívána správně, chatbot může být použit pro psaní textů pro e-maily v libovolném jazyce, který útočník chce.

"Velkou překážkou pro ruské kyberkriminálníky je jazyk - angličtina", říká Shykevich. "Nyní najímají absolventy studia angličtiny na ruských vysokých školách, kteří píší phishingové e-maily a pracují v call centrech - za to musí platit peníze."

Pokračuje: "Něco jako ChatGPT jim může ušetřit hodně peněz při tvorbě různých phishingových zpráv. Může jim prostě zlepšit život. Myslím, že to je cesta, po které se budou dívat."

chatgpt-přihlašovací-obrazovka.jpg

Teoreticky jsou zde zavedeny ochranné mechanismy, které mají zabránit zneužívání. Například ChatGPT vyžaduje od uživatelů registraci emailové adresy a také vyžaduje telefonní číslo ke ověření registrace.

A ačkoli ChatGPT odmítne psát phishingové e-maily, je možné požádat ho, aby vytvořil e-mailové šablony pro jiné zprávy, které jsou běžně zneužívány kybernetickými útočníky. Tato snaha by se mohla týkat zpráv, jako je tvrzení, že je k dispozici roční bonus, který je třeba získat, nainstalovat důležitou aktualizaci softwaru nebo naléhavěji zkontrolovat přiložený dokument.

"Vytváření e-mailu, který přesvědčí někoho kliknout na odkaz a získat něco jako pozvánka na konferenci - to je celkem dobré a pokud nejste rodilý mluvčí angličtiny, to vypadá opravdu dobře," říká Adam Meyers, generální viceprezident pro inteligenci ve společnosti Crowdstrike, poskytovateli kybernetické bezpečnosti a informací o hrozbách.

"Můžete nechat vytvořit hezky formulované, gramaticky správné pozvání, které byste nebyli schopni vytvořit, kdybyste nebyli rodilý mluvčí angličtiny."

Ale zneužívání těchto nástrojů není omezeno pouze na e-mail; zločinci by je mohli použít k psaní scénářů pro kteroukoli textově založenou online platformu. Pro pachatele podvodů nebo dokonce pro pokročilé kybernetické hrozby, které se pokoušejí provádět špionážní kampaně, by to mohl být užitečný nástroj - zejména pro vytváření falešných sociálních profilů, kterými by lidé byli nalákáni.

"Pokud chcete generovat věrohodný podnikový blábol pro LinkedIn, aby se zdálo, že jste skutečný podnikatel, který se snaží navazovat kontakty, ChatGPT je skvělý pro to," říká Kelly Shortridge, odbornice na kybernetickou bezpečnost a vedoucí principální produktová technoložka u poskytovatele výpočetního cloudu Fastly.

Různé skupiny hackerů se snaží využívat LinkedIn a další sociální média jako nástroje pro provádění kyberšpionážních kampaní. Vytváření falešných, ale vypadajících legitimně online profilů - a jejich naplňování příspěvky a zprávami - je však časově náročný proces.

Shortridge si myslí, že útočníci by mohli využít nástroje umělé inteligence jako ChatGPT k psaní přesvědčivého obsahu a zároveň by měli výhodu, že je méně náročné na práci než manuální zpracování.

"Mnoho takových sociálně inženýrských kampaní vyžaduje mnoho úsilí, protože musíte ty profily nastavit," říká, argumentuje, že nástroje AI by mohly výrazně snížit vstupní bariéru.

"Jsem si jistý, že ChatGPT by mohl napsat velmi přesvědčivě znějící příspěvky v oblasti myšlenkového vedení," říká.

Příroda technologického inovování znamená, že vždy, když něco nového vznikne, vždy budou tací, kteří se pokusí o jeho zneužití pro zlomyslné účely. A i s nejnovějšími prostředky k pokusu o zabránění zneužívání, lstivá povaha kyberkriminálníků a podvodníků znamená, že pravděpodobně najdou způsoby, jak obejít ochranu.

"Neexistuje způsob, jak úplně odstranit zneužití na nulu. To se nikdy nestalo u žádného systému," říká Shykevich, který doufá, že zdůrazňování potenciálních problémů s kybernetickou bezpečností povede k větší diskusi o tom, jak zabránit zneužití AI chatbotů pro účely, které nejsou v souladu s pravidly."

"Je to skvělá technologie - ale, jako vždy s novou technologií, jsou zde rizika a je důležité je diskutovat, aby jsme si jich byli vědomi. A myslím si, že čím víc budeme diskutovat, tím je pravděpodobnější, že OpenAI a podobné společnosti budou investovat více do snižování zneužívání," navrhuje.

Takové AI chatboty, jako je ChatGPT, mají v kybernetické bezpečnosti také své výhody. Jsou zvláště dobré v práci s kódem a jeho porozumění, takže je možné je využít k pomoci obráncům porozumět malwarem. Díky své schopnosti psát kód mohou tyto nástroje pomáhat vývojářům s jejich projekty a tak přispět k rychlejšímu vytváření lepšího a bezpečnějšího kódu, což je pro všechny přínosem.

Jak nedávno napsal hlavní analytik společnosti Forrester Jeff Pollard, ChatGPT by mohl poskytnout masivní snížení času potřebného k vypracování zpráv o bezpečnostních incidentech.

"Rychlejší zpracování těchto ještě znamená více času na další činnosti - testování, hodnocení, vyšetřování a reagování, což vše pomáhá bezpečnostním týmům škálovat," poznamenává, přičemž dodává, že bot by mohl navrhnout další doporučené akce na základě dostupných dat.

"Pokud je orchestrace, automatizace a reakce zabezpečení nastavena správně k urychlení získávání artefaktů, může to urychlit detekci a reakci a pomoci analytikům [centra operačního zabezpečení] při rozhodování," říká.

Takže chatboti by mohli ztížit život některým v kybernetické bezpečnosti, ale také by mohly přinést nějaké výhody.

ZDNET kontaktoval OpenAI až trorbu na komentář, ale nedostal odpověď. Nicméně, ZDNET se zeptal ChatGPT na pravidla, která má nastavena, aby zabránila zneužití pro phishing - a získali jsme následující text.

"Je důležité si uvědomit, že i když jazykové modely umělé inteligence, jako je ChatGPT, mohou generovat text podobný phishingovým e-mailům, samy o sobě nemohou vykonávat škodlivé činnosti a vyžadují úmysly a akce uživatele ke způsobení škody. Proto je důležité, aby uživatelé projevovali opatrnost a dobrý úsudek při používání AI technologií a byli ostražití při ochraně proti phishingu a dalším škodlivým aktivitám."

Příbuzné články

Zobrazit víc >>

Odemkněte sílu AI s HIX.AI!