OpenAI, Kasım ayı sonunda ChatGPT’yi piyasaya sürdüğünden beri, birçok güvenlik uzmanı, siber suçluların kötü amaçlı yazılım yazmak ve diğer hain faaliyetleri etkinleştirmek için AI sohbet robotunu kullanmaya başlamasının an meselesi olacağını tahmin etti. Sadece haftalar sonra, o zaman çoktan gelmiş gibi görünüyor.
Aslında, Check Point Research’teki (CPR) araştırmacılar, siyah şapkalı bilgisayar korsanlarının yeraltı forumlarında ChatGPT’nin AI-smart’larını kötü amaçlar için nasıl kullandıklarını gösterdikleri en az üç örnek tespit ettiklerini bildirdiler.
Arka plan olarak, ChatGPT, kod geliştirme ve hata ayıklama da dahil olmak üzere çok çeşitli kullanım durumlarında yardımcı olmak için tasarlanmış yapay zeka destekli bir prototip sohbet robotudur. Başlıca ilgi çekici yönlerinden biri, kullanıcıların chatbot ile sohbet şeklinde etkileşim kurabilmesi ve yazılım yazmaktan karmaşık konuları anlamaya, makale ve e-posta yazmaya, müşteri hizmetlerini geliştirmeye ve farklı iş veya pazar senaryolarını test etmeye kadar her konuda yardım alabilmesidir.
Ancak daha karanlık amaçlar için de kullanılabilir.
Kötü Amaçlı Yazılım Yazmaktan Karanlık Web Pazarı Yaratmaya
Bir örnekte, bir kötü amaçlı yazılım yazarı, diğer siber suçlular tarafından kullanılan bir forumda, bilinen kötü amaçlı yazılım türlerini ve tekniklerini yeniden oluşturup oluşturamayacağını görmek için ChatGPT ile nasıl deneyler yaptığını açıkladı.
Çabasının bir örneği olarak, kişi, Office belgeleri, PDF’ler ve virüslü bir sistemden görüntüler gibi 12 yaygın dosya türünü arayabilen, kopyalayabilen ve dışarı sızdırabilen ChatGPT kullanarak geliştirdiği Python tabanlı bir bilgi hırsızının kodunu paylaştı. . Aynı kötü amaçlı yazılım yazarı, PuTTY SSH ve telnet istemcisini indirmek ve PowerShell aracılığıyla bir sistemde gizlice çalıştırmak için Java kodunu yazmak için ChatGPT’yi nasıl kullandığını da gösterdi.
21 Aralık’ta USDoD tanıtıcısını kullanan bir tehdit aktörü, Blowfish ve Twofish şifreleme algoritmalarını kullanarak verileri şifrelemek ve şifresini çözmek için sohbet robotuyla oluşturduğu bir Python komut dosyası yayınladı. CPR araştırmacıları, kodun tamamen zararsız amaçlarla kullanılabilmesine rağmen, bir tehdit aktörünün kod üzerinde herhangi bir kullanıcı etkileşimi olmadan çalışacak şekilde kolayca ince ayar yapabileceğini ve bu süreçte onu fidye yazılımı haline getirebileceğini buldu. CPR, bilgi hırsızının yazarının aksine USDoD’nin çok sınırlı teknik becerilere sahip göründüğünü ve aslında ChatGPT ile oluşturduğu Python betiğinin şimdiye kadar yarattığı ilk komut dosyası olduğunu iddia ettiğini söyledi.
Üçüncü örnekte, CPR araştırmacıları, çalıntı banka hesabı ve ödeme kartı verileri, kötü amaçlı yazılım araçları, uyuşturucu, cephane ve çeşitli diğer yasa dışı malların ticareti için ChatGPT’yi nasıl tamamen otomatik bir Dark Web pazarı oluşturmak üzere kullandığını tartışan bir siber suçlu buldu.
“Siber suçlu, ChatGPT’nin bu amaçlarla nasıl kullanılacağını göstermek için, güncel kripto para birimini (Monero, Bitcoin ve [Ethereum]) Dark Web market ödeme sisteminin bir parçası olarak fiyatlar,” güvenlik satıcısı kaydetti.
Tecrübe Gerekmez
ChatGPT’yi suistimal eden tehdit aktörlerine ilişkin endişeler, OpenAI’nin AI aracını Kasım ayında piyasaya sürmesinden bu yana yaygınlaştı ve birçok güvenlik araştırmacısı, chatbot’un kötü amaçlı yazılım yazma çıtasını önemli ölçüde düşürdüğünü düşünüyor.
Check Point tehdit istihbarat grubu yöneticisi Sergey Shykevich, ChatGPT ile kötü niyetli bir aktörün kötü amaçlı yazılım yazmak için kodlama deneyimine sahip olmaması gerektiğini yineliyor: “Kötü amaçlı yazılımın – veya herhangi bir programın – hangi işlevlere sahip olması gerektiğini bilmelisiniz. ChatGTP, sizin için gerekli işlevselliği yürütecek kod.”
Shykevich, “Kısa vadeli endişe kesinlikle, düşük beceriye sahip siber suçluların kötü amaçlı yazılım geliştirmesine izin veren ChatGPT ile ilgilidir” diyor. “Uzun vadede, daha sofistike siber suçluların da faaliyetlerinin verimliliğini artırmak veya sahip olabilecekleri farklı boşlukları gidermek için ChatGPT’yi benimseyeceğini varsayıyorum.”
Horizon3ai’nin müşteri başarı yöneticisi Brad Hong, bir saldırganın bakış açısından, kod üreten yapay zeka sistemlerinin, kötü niyetli aktörlerin diller arasında bir tür tercüman görevi görerek sahip olabilecekleri herhangi bir beceri açığını kolayca kapatmalarına olanak tanıdığını ekledi. Hong, Dark Reading’e e-postayla gönderdiği bir açıklamada, bu tür araçların, bir saldırganın hedefleriyle ilgili kod şablonları oluşturmak için isteğe bağlı bir araç sağladığını ve Stack Overflow ve Git gibi geliştirici sitelerinde arama yapma ihtiyacını azalttığını söyledi.
ChatGPT’yi kötüye kullanan tehdit aktörlerinin keşfinden önce bile, Check Point — diğer bazı güvenlik sağlayıcıları gibi — rakiplerin nasıl avantaj sağlayabileceklerini gösterdi kötü amaçlı faaliyetlerde chatbot. Güvenlik satıcısı, 19 Aralık tarihli bir blogda, araştırmacılarının yalnızca ChatGPT’den hayali bir web barındırma hizmetinden geliyormuş gibi görünen bir e-posta yazmasını isteyerek nasıl kulağa çok makul gelen bir kimlik avı e-postası oluşturduklarını anlattı. Araştırmacılar ayrıca, uzak bir URL’den yürütülebilir bir dosya indirmek için bir Excel çalışma kitabına yapıştırabilecekleri VBS kodunu yazmak için ChatGPT’ye nasıl sahip olduklarını da gösterdiler.
Alıştırmanın amacı, saldırganların ilk mızraklı kimlik avı e-postasından etkilenen sistemlerde ters kabuk çalıştırmaya kadar tam bir bulaşma zinciri oluşturmak için ChatGPT gibi yapay zeka modellerini nasıl kötüye kullanabileceklerini göstermekti.
Siber Suçlular İçin İşleri Zorlaştırıyoruz
OpenAI ve benzer araçların diğer geliştiricileri, teknolojilerinin kötüye kullanımını sınırlamaya çalışmak için filtreler ve kontroller koydular ve bunları sürekli olarak geliştiriyorlar. Ve en azından şu an için, yapay zeka araçları sorunlu olmaya devam ediyor ve birçok araştırmacının zaman zaman düz hatalar olarak tanımladığı, bazı kötü niyetli çabaları engelleyebilecek hatalara eğilimli. Buna rağmen, birçok kişinin tahminine göre, bu teknolojilerin kötüye kullanım potansiyeli uzun vadede büyük olmaya devam ediyor.
Shykevich, suçluların teknolojileri kötüye kullanmasını zorlaştırmak için geliştiricilerin yapay zeka motorlarını kötü amaçlarla kullanılabilecek istekleri belirleyecek şekilde eğitmeleri ve iyileştirmeleri gerekeceğini söylüyor. Diğer seçenek, OpenAI motorunu kullanmak için kimlik doğrulama ve yetkilendirme gereksinimlerini uygulamaktır, diyor. Şu anda çevrimiçi finans kurumlarının ve ödeme sistemlerinin kullandıklarına benzer bir şeyin bile yeterli olacağını belirtiyor.