Создает ли ChatGPT кошмар кибербезопасности? Мы спросили экспертов
ChatGPT кажется довольно неизбежным прямо сейчас, и истории восхищаются его способностями, куда бы вы ни посмотрели. Мы видели, как он может писать музыку, рендерить 3D-анимацию и сочинять музыку. Если вы можете подумать об этом, ChatGPT, вероятно, сможет это сделать.
И это именно проблема. В техническом сообществе прямо сейчас происходит всевозможное заламывание рук, и комментаторы часто беспокоятся о том, что ИИ вот-вот приведет к апокалипсису вредоносного ПО, когда даже самые находчивые хакеры придумывают неудержимые трояны и программы-вымогатели.
Но так ли это на самом деле? Чтобы выяснить это, я поговорил с несколькими экспертами по кибербезопасности, чтобы узнать, что они думают о возможностях вредоносного ПО ChatGPT, обеспокоены ли они его потенциальным неправомерным использованием и что вы можете сделать, чтобы защитить себя в этом зарождающемся новом мире.
Сомнительные способности
Одной из главных достопримечательностей ChatGPT является его способность выполнять сложные задачи с помощью всего нескольких простых подсказок, особенно в мире программирования. Опасения заключаются в том, что это снизит входные барьеры для создания вредоносных программ, что потенциально может привести к увеличению числа вирусописателей, которые полагаются на инструменты ИИ, чтобы сделать за них тяжелую работу.
Джошуа Лонг, главный аналитик по безопасности в охранной фирме Intego, иллюстрирует этот тезис. «Как и любой инструмент в физическом или виртуальном мире, компьютерный код можно использовать во благо или во зло», — объясняет он. «Если вы запрашиваете код, который может, например, зашифровать файл, такой бот, как ChatGPT, не сможет узнать ваши настоящие намерения. Если вы заявите, что вам нужен код шифрования для защиты ваших собственных файлов, бот поверит вам, даже если ваша настоящая цель — создать программу-вымогатель».
ChatGPT имеет различные средства защиты для борьбы с такого рода вещами, и хитрость для создателей вирусов заключается в том, чтобы обойти эти ограждения. Прямо попросите ChatGPT создать эффективный вирус, и он просто откажется, требуя от вас проявить творческий подход, чтобы перехитрить его и заставить выполнять ваши приказы вопреки здравому смыслу. Учитывая, что люди могут делать с джейлбрейком в ChatGPT , возможность создания вредоносного ПО с использованием ИИ кажется возможной в теории. Фактически, это уже было продемонстрировано , так что мы знаем, что это возможно.
Но не все паникуют. Мартин Зугек, директор по техническим решениям Bitdefender, считает, что риски все еще довольно малы. «Большинство начинающих авторов вредоносных программ вряд ли обладают навыками, необходимыми для обхода этих мер безопасности, и поэтому риск, создаваемый вредоносным ПО, создаваемым чат-ботами, в настоящее время остается относительно низким», — говорит он.
«В последнее время вредоносное ПО, созданное с помощью чат-ботов, стало популярной темой для обсуждения, — продолжает Цугек, — но в настоящее время нет никаких доказательств того, что оно представляет серьезную угрозу в ближайшем будущем». И тому есть простая причина. По словам Цугека, «качество вредоносного кода, создаваемого чат-ботами, как правило, низкое, что делает его менее привлекательным вариантом для опытных авторов вредоносных программ, которые могут найти лучшие примеры в общедоступных репозиториях кода».
Таким образом, хотя заставить ChatGPT создавать вредоносный код, безусловно, возможно, любой, у кого есть навыки, необходимые для управления чат-ботом с искусственным интеллектом, скорее всего, не будет впечатлен плохим кодом, который он создает, считает Цугек.
Но, как вы могли догадаться, генеративный ИИ только начинается. А для Лонга это означает, что риски взлома, связанные с ChatGPT, еще не высечены на камне.
«Возможно, распространение ИИ-роботов на основе LLM может привести к небольшому или умеренному увеличению числа новых вредоносных программ или улучшению возможностей вредоносных программ и уклонению от антивирусов», — говорит Лонг, используя аббревиатуру для больших языковых моделей, которые ИИ такие инструменты, как ChatGPT, используют для накопления своих знаний. «Однако на данный момент неясно, насколько инструменты прямого воздействия, такие как ChatGPT, оказывают или будут оказывать на реальные вредоносные программы».
Друг рыбака
Если навыки ChatGPT в написании кода еще не на высоте, может ли это быть угрозой в других отношениях, например, путем написания более эффективных кампаний по фишингу и социальной инженерии? Здесь аналитики согласны с тем, что существует гораздо больше возможностей для неправомерного использования.
Для многих компаний потенциальным вектором атаки являются сотрудники фирмы, которых можно обмануть или манипулировать, чтобы они непреднамеренно предоставили доступ туда, где им не следует. Хакеры знают об этом, и было много громких атак социальной инженерии, которые оказались катастрофическими. Например, считается, что северокорейская Lazarus Group начала свое вторжение в системы Sony в 2014 году , что привело к утечке невыпущенных фильмов и личной информации, выдав себя за рекрутера и заставив сотрудника Sony открыть зараженный файл.
Это одна из областей, где ChatGPT может существенно помочь хакерам и фишерам улучшить свою работу. Например, если английский не является родным языком злоумышленника, он может использовать чат-бота с искусственным интеллектом, чтобы написать для него убедительное фишинговое электронное письмо, предназначенное для носителей английского языка. Или его можно использовать для быстрого создания большого количества убедительных сообщений за гораздо меньшее время, чем это потребовалось бы для выполнения той же задачи злоумышленниками-людьми.
Все может стать еще хуже, если в смесь добавятся другие инструменты ИИ. Как постулировали Карен Рено, Меррил Уоркентин и Джордж Вестерман в Sloan Management Review Массачусетского технологического института , мошенник может сгенерировать сценарий с помощью ChatGPT и прочитать его по телефону дипфейковым голосом, выдающим себя за генерального директора компании. Для сотрудника компании, получающего звонок, голос будет звучать и действовать точно так же, как их босс. Если этот голос попросил сотрудника перевести денежную сумму на новый банковский счет, сотрудник вполне может попасться на уловку из-за уважения, которое он оказывает своему начальнику.
По словам Лонга, «[злоумышленникам] больше не нужно полагаться на собственные (часто несовершенные) знания английского языка, чтобы написать убедительное мошенническое электронное письмо. Они также не должны даже придумывать свою умную формулировку и запускать ее через Google Translate. Вместо этого ChatGPT, совершенно не подозревая о возможности злонамеренных действий, стоящих за запросом, с радостью напишет весь текст мошеннического электронного письма на любом желаемом языке».
И все, что требуется для того, чтобы ChatGPT действительно сделал это, — это умная подсказка.
Может ли ChatGPT повысить вашу кибербезопасность?
Тем не менее, не все так плохо. Те же качества, которые делают ChatGPT привлекательным инструментом для злоумышленников, — его скорость и способность находить бреши в коде — делают его полезным ресурсом для исследователей кибербезопасности и антивирусных фирм.
Лонг отмечает, что исследователи уже используют чат-ботов с искусственным интеллектом для поиска еще не обнаруженных («нулевого дня») уязвимостей в коде, просто загружая код и запрашивая ChatGPT, может ли он обнаружить какие-либо потенциальные недостатки. Это означает, что та же методология, которая может ослабить защиту, может быть использована для ее укрепления.
И хотя основная привлекательность ChatGPT для злоумышленников может заключаться в его способности писать правдоподобные фишинговые сообщения, те же самые таланты могут помочь компаниям и пользователям узнать, на что обращать внимание, чтобы избежать мошенничества. Его также можно использовать для обратного проектирования вредоносного ПО, помогая исследователям и фирмам, занимающимся безопасностью, быстро разрабатывать меры противодействия.
В конечном счете, ChatGPT сам по себе не является ни хорошим, ни плохим. Как отмечает Цугек, «аргумент о том, что ИИ может способствовать разработке вредоносного ПО, может применяться к любому другому технологическому прогрессу, который принес пользу разработчикам, например к программному обеспечению с открытым исходным кодом или платформам для обмена кодом».
Другими словами, пока меры безопасности продолжают улучшаться, угроза, исходящая даже от лучших чат-ботов с искусственным интеллектом, никогда не станет такой опасной, как недавно предсказывалось.
Как обезопасить себя
Если вас беспокоят угрозы, исходящие от чат-ботов с искусственным интеллектом, и вредоносное ПО, которое они могут создать, есть несколько шагов, которые вы можете предпринять, чтобы защитить себя. Цугек говорит, что важно принять «многоуровневый подход к защите», который включает «внедрение решений для защиты конечных точек, поддержание программного обеспечения и систем в актуальном состоянии и сохранение бдительности в отношении подозрительных сообщений или запросов».
Тем временем Лонг рекомендует избегать файлов, которые вам автоматически предлагается установить при посещении веб-сайта. Когда дело доходит до обновления или загрузки приложения, получите его в официальном магазине приложений или на веб-сайте поставщика программного обеспечения. И будьте осторожны, нажимая на результаты поиска или заходя на веб-сайт — хакеры могут просто заплатить за размещение своих мошеннических сайтов в верхней части результатов поиска и украсть ваши данные для входа с помощью тщательно созданных похожих веб-сайтов .
ChatGPT никуда не денется, как и вредоносное ПО, наносящее столько вреда по всему миру. Хотя угроза кодирования ChatGPT на данный момент может быть преувеличена, его умение создавать фишинговые электронные письма может вызвать всевозможные головные боли. Тем не менее, очень возможно защитить себя от угрозы, которую он представляет, и убедиться, что вы не станете его жертвой. Прямо сейчас излишняя осторожность — и надежное антивирусное приложение — могут помочь сохранить ваши устройства в целости и сохранности.