آیا ChatGPT تهدیدی برای امنیت سایبری است؟

آیا چت ربات ۱۰۰ میلیون کاربر ChatGPT با استفاده از سیستم عامل Ai با توجه به این که می‌تواند کد‌های مخرب و همچنین ایمیل‌های فیشینگ ایجاد کند، یک خطر امنیت سایبری را نشان می‌دهد؟

تحقیقات جدید منتشر شده از بلک بری نشان می‌دهند که ربات ChatGPT مجهز به هوش مصنوعی می‌تواند یک تهدید امنیت سایبری باشد.

شیشیر سینگ، مدیر ارشد فناوری امنیت سایبری در بلک بری، گفت: به خوبی مستند شده است افرادی با نیت مخرب در حال آزمایش آن هستند.

سینگ در ادامه گفت: بلک بری انتظار دارد در طول سال ۲۰۲۳ شاهد بهبود هکر‌ها در استفاده از ابزار نوشتن برای مقاصد شوم باشد و سینگ تنها نیست. نظرسنجی کارشناسان فناوری اطلاعات در سراسر آمریکای شمالی، انگلیس و استرالیا ۵۱ مورد را مشاهده کرد. برخی از این کارشناسان معتقدند حمله سایبری مبتنی بر ChatGPT احتمالا قبل از پایان سال رخ می‌دهد؛ در حالی که ۷۱ ٪ گفتند که فکر می‌کنند دولت-ملت‌ها احتمالا از قبل از این فناوری علیه سایر کشور‌ها استفاده می‌کنند.

پایگاه کاربر ChatGPT تنها در دو ماه به ۱۰۰ میلیون رسید

به راحتی می‌توان آن درصد‌های بالا را به عنوان یک واکنش هذلولی و تند نسبت به چیزی که مسلما یک کاربرد تاثیرگذار است، رد کرد. شما فقط باید به رشد سریع استفاده نگاه کنید که طبق گزارش‌ها سریع‌ترین برنامه مصرف کننده در حال رشد است.

برای درک این موضوع، ChatGPT در دسامبر ۲۰۲۲ تنها برای استفاده عمومی باز شد. تقریبا ۹ ماه طول کشید تا تیک تاک به همان اعداد برسد. به راحتی می‌توان فهمید که چرا مردم نگران فرصت سوءاستفاده هستند؛ زیرا ربات Open-AI فقط سرمقاله نمی‌نویسد، بلکه می‌تواند کد ایجاد کند.

محققان امنیتی با استفاده از ChatGPT بدافزار ایجاد می‌کنند

در ماه ژانویه، محققان متخصص امنیت سایبری CyberArk، یک وبلاگ تحقیقاتی تهدید منتشر کردند که در آن نحوه ایجاد بدافزار چند شکلی با استفاده از ChatGPT توضیح داده شد. همان طور که ممکن است انتظار داشته باشید، کمی پیچیده می‌شود؛ اما به طور خلاصه، محققان توانستند فیلتر‌های خط مشی محتوای ایجاد شده توسط OpenAI را برای جلوگیری از سوءاستفاده از ChatGPT دور بزنند. اگر از ربات هوش مصنوعی بخواهید چند کد مخرب در پایتون ایجاد کند، مودبانه امتناع می‌کند.

با این حال با فرآیندی که محققان در طول درخواست ورودی آن را «اصرار و تقاضا» نامیدند، امکان ایجاد کد اجرایی وجود داشت. این مشکل ساز است، اما زمانی که آن‌ها به ایجاد کد بدافزار چند شکلی ادامه دادند، بیشتر شد. کد جهش یافته توسط ChatGPT برای ایجاد تکرار‌های مختلف برای فریب دادن سیستم‌های تشخیص اولیه مبتنی بر امضا.

آیا این یک نگرانی قابل توجه است؟

همان طور که محققان گفتند، زمانی که بدافزار بر روی دستگاه مورد نظر وجود دارد، از کد‌های مخربی تشکیل شده است که آن را مستعد شناسایی توسط نرم‌افزار‌های امنیتی می‌کند. البته خطر این است که ChatGPT نمونه‌ای از یادگیری ماشینی است. هرچه ورودی‌های بیشتری دریافت کند، در طول زمان خروجی‌های بهتری خواهد داشت. فقط بهتر خواهد شد.

شواهدی از مجرمان سایبری در حال بررسی قابلیت‌های ChatGPT

محققان در یکی دیگر از تجهیزات امنیتی، Check Point Re۴search نیز گزارشی را در ژانویه منتشر کردند که در آن بررسی شده بود که چگونه مجرمان سایبری قبلا شروع به استفاده از ChatGPT با اهداف مخرب کرده‌اند.

محققان گفتند علاوه بر ایجاد یک ایمیل فیشینگ متقاعد کننده، عوامل تهدید کننده را در انجمن‌های مجرمانه پیدا کردند که یک کد بدافزار کاملا ابتدایی و مبنی بر سرقت اطلاعات مبتنی بر پایتون را به اشتراک می‌گذاشتند.

همچنین گزارش شده است که یک اسکریپت جاوا مخرب با استفاده از ChatGPT ایجاد شده است. یکی دیگر از بازیگران تهدید اعتراف کرد که ChatGPT به او «فرصت خوبی» در تکمیل یک ابزار رمزگذار پایتون از نوعی که می‌توان برای کار در یک باج‌افزار توسعه داد، داده است.

محققان گفتند بسیاری از مجرمان سایبری درگیر اصلا هیچ مهارتی در توسعه ندارند، این شاید نگران‌کننده‌ترین جنبه باشد؛ زیرا آخرین چیزی که دنیا به آن نیاز دارد این است که اسکریپت‌های مخرب خود را بسازند.

یکی دیگر از ریسک‌های مرتبط با مدل‌های هوش مصنوعی مانند ChatGPT احتمال استفاده از آن‌ها برای اهداف مخرب است. به عنوان مثال یک مهاجم می‌تواند یک ربات چت جعلی ایجاد کند که شبیه یک نماینده قانونی خدمات مشتری به نظر می‌رسد و از آن برای فریب دادن افراد برای دست کشیدن از خدمات مشتری، اطلاعات شخصی یا خرید‌های غیرمجاز استفاده کند. اگر مهاجم بتواند ربات چت را به نظر برساند که از یک سازمان قابل اعتماد است، مانند بانک یا سازمان دولتی، این امر می‌تواند خطرناک باشد.

توانایی مدل‌های زبانی مانند ChatGPT برای نوشتن کد‌های مخرب موضوع مورد نگرانی بسیاری از سازمان‌ها و افراد است. با پیچیده‌تر شدن این مدل‌ها، پتانسیل استفاده از آن‌ها برای اهداف مخرب افزایش می‌یابد. با این حال، درک این نکته مهم است. خطر مرتبط با نوشتن کد‌های مخرب ChatGPT ذاتی خود فناوری نیست، بلکه بستگی به نحوه استفاده از آن دارد.

به عنوان مثال، یک مهاجم می‌تواند یک مدل زبان را آموزش دهد تا کدی تولید کند که از آسیب‌پذیری‌ها در برنامه‌های نرم‌افزاری سوء استفاده می‌کند. این می‌تواند برای انجام حملاتی مانند سرقت داده یا انکار سرویس استفاده شود. مهاجم همچنین می‌تواند از مدل زبان برای تولید کد استفاده کند که برای فرار از تشخیص توسط ابزار‌های امنیتی طراحی شده است و تشخیص و جلوگیری از حمله را دشوارتر می‌کند.

البته ما نباید تحت تاثیر کل هذل‌گویی خطرناک هوش مصنوعی پیرامون ChatGPT قرار بگیریم. این ابزاری چشمگیر است که پتانسیل انجام کار‌های خوب حتی در زمینه تحقیقات امنیت سایبری را دارد؛ با این حال مانند هر فناوری دیگری، افراد بد از ابزار‌های خوب برای انجام کار‌های بد استفاده می‌کنند.

در پایان، توانایی مدل‌های زبانی مانند ChatGPT برای نوشتن کد‌های مخرب یک نگرانی واقعی است، این یک خطر ذاتی برای خود فناوری نیست، بلکه نتیجه نحوه استفاده از آن است.

منبع: forbes