İlk çıkışından beri Kasım ayında ChatGPT, internetin yeni favori oyuncağı haline geldi. Yapay zeka güdümlü doğal dil işleme aracı, web tabanlı sohbet robotunu oluşturmaktan her şey için kullanan 1 milyondan fazla kullanıcıyı hızla topladı. düğün konuşmaları ve hip-hop şarkı sözleri akademik makaleler hazırlamak ve bilgisayar kodu yazmak.
ChatGPT’nin insan benzeri yetenekleri interneti kasıp kavurmakla kalmadı, aynı zamanda birçok sektörü tedirgin etti: New York’taki bir okul, ChatGPT’yi hile yapmak için kullanılabileceği korkusuyla yasakladı, metin yazarları şimdiden değiştirildive raporlar, Google’ın ChatGPT’nin yeteneklerinden o kadar endişelendiğini iddia ediyor ki, “kırmızı kod” yayınladı şirketin arama işinin hayatta kalmasını sağlamak için.
Görünüşe göre, modern yapay zekanın potansiyel etkileri konusunda uzun süredir şüpheci olan bir topluluk olan siber güvenlik endüstrisi, ChatGPT’nin sınırlı kaynaklara ve sıfır teknik bilgiye sahip bilgisayar korsanları tarafından kötüye kullanılabileceğine dair endişelerin ortasında da dikkat çekiyor.
ChatGPT’nin piyasaya sürülmesinden sadece haftalar sonra, İsrailli siber güvenlik şirketi Check Point gösterdi web tabanlı sohbet robotunun, OpenAI’nin kod yazma sistemi Codex ile birlikte kullanıldığında nasıl kötü amaçlı bir yük taşıyabilen bir kimlik avı e-postası oluşturabileceği. Check Point tehdit istihbarat grubu yöneticisi Sergey Shykevich, TechCrunch’a bunun gibi kullanım örneklerinin ChatGPT’nin “siber tehdit ortamını önemli ölçüde değiştirme potansiyeline” sahip olduğunu gösterdiğine inandığını söyledi ve bunun “giderek daha karmaşık ve etkili olan tehlikeli evrimde ileriye doğru bir başka adım” olduğunu ekledi. siber yetenekler.”
TechCrunch da chatbot’u kullanarak meşru görünen bir kimlik avı e-postası oluşturmayı başardı. ChatGPT’den ilk kez bir kimlik avı e-postası oluşturmasını istediğimizde, sohbet robotu isteği reddetti. “Kötü niyetli veya zararlı içerik oluşturmak veya tanıtmak için programlanmadım” diye bir uyarı geldi. Ancak isteği biraz yeniden yazmak, yazılımın yerleşik korkuluklarını kolayca atlamamıza izin verdi.
TechCrunch’ın konuştuğu güvenlik uzmanlarının birçoğu, ChatGPT’nin fidye yazılımı için en iyi saldırı vektörü olan meşru görünen kimlik avı e-postaları yazma yeteneğinin, chatbot’un siber suçlular, özellikle anadili İngilizce olmayanlar tarafından geniş çapta benimseneceğini görecek.
Sophos’ta baş araştırmacı bilim adamı Chester Wisniewski, faillerin daha inandırıcı bir Amerikan İngilizcesi ile yazıyormuş gibi görünmek istedikleri “her türlü sosyal mühendislik saldırısı” için ChatGPT’nin kötüye kullanıldığını görmenin kolay olduğunu söyledi.
“Temel düzeyde, onunla bazı harika kimlik avı tuzakları yazabildim ve iş e-postası uzlaşması ve hatta Facebook Messenger, WhatsApp veya diğer sohbet uygulamaları üzerinden yapılan saldırılar için daha gerçekçi etkileşimli konuşmalar yapmak için kullanılabileceğini umuyorum. ” Wisniewski TechCrunch’a söyledi.
“Aslında kötü amaçlı yazılım almak ve onu kullanmak, alttan beslenen bir siber suçlu olmaya giden boktan işin küçük bir parçası.” Grugq, güvenlik araştırmacısı
Bir sohbet robotunun inandırıcı metinler ve gerçekçi etkileşimler yazabileceği fikri o kadar da abartılı değil. Darktrace’te tehdit araştırma başkanı Hanah Darley, TechCrunch’a “Örneğin, ChatGPT’ye bir GP ameliyatı gibi davranması talimatını verebilirsiniz ve saniyeler içinde gerçeğe yakın metin üretecektir” dedi. “Tehdit aktörlerinin bunu bir güç çarpanı olarak nasıl kullanabileceğini hayal etmek zor değil.”
Check Point ayrıca yakın zamanda alarm çaldı chatbot’un siber suçluların kötü amaçlı kod yazmasına yardımcı olma konusundaki bariz yeteneği hakkında. Araştırmacılar, hiçbir teknik beceriye sahip olmayan bilgisayar korsanlarının ChatGPT’nin AI akıllılarını kötü amaçlar için nasıl kullandıklarıyla övündükleri en az üç örneğe tanık olduklarını söylüyorlar. Bir karanlık web forumundaki bir bilgisayar korsanı, ChatGPT tarafından yazılan ve iddiaya göre ilgilenilen dosyaları çalan, sıkıştıran ve web üzerinden gönderen bir kod sergiledi. Başka bir kullanıcı, oluşturdukları ilk komut dosyası olduğunu iddia ettikleri bir Python komut dosyası yayınladı. Check Point, kodun zararsız görünse de, “herhangi bir kullanıcı etkileşimi olmadan birinin makinesini tamamen şifrelemek için kolayca değiştirilebileceğini” belirtti. Check Point, aynı forum kullanıcısının daha önce saldırıya uğramış şirket sunucularına erişim sattığını ve verileri çaldığını söyledi.
Ne kadar zor olabilir?
Güvenlik araştırmacısı ve Picus Security’nin kurucu ortağı Dr. Süleyman Özarslan kısa süre önce TechCrunch’a ChatGPT’nin Dünya Kupası temalı bir kimlik avı yemi yazmak ve macOS hedefli fidye yazılımı kodu yazmak için nasıl kullanıldığını gösterdi. Ozarslan, sohbet robotundan, MacBook’taki Office belgelerini şifrelemeden önce, bir MacBook’ta Microsoft Office belgelerini bulabilen ve bunları şifreli bir bağlantı üzerinden bir web sunucusuna gönderebilen, Apple cihazları için uygulamalar geliştirmek için kullanılan programlama dili olan Swift için kod yazmasını istedi. .
Ozarslan, “ChatGPT ve buna benzer diğer araçların siber suçları demokratikleştireceğinden hiç şüphem yok” dedi. “Fidye yazılımı kodunun insanların karanlık ağda ‘hazır’ satın alması için zaten mevcut olması yeterince kötü; artık neredeyse herkes onu kendisi yaratabiliyor.”
Şaşırtıcı olmayan bir şekilde, ChatGPT’nin kötü amaçlı kod yazabilme yeteneğiyle ilgili haberler, sektörde kaşları çattı. Ayrıca bazı uzmanların, bir yapay zeka sohbet robotunun korsan özentilerini tam teşekküllü siber suçlulara dönüştürebileceğine dair endişeleri çürütmek için harekete geçtiği görüldü. İçinde Mastodon’da yayınlabağımsız güvenlik araştırmacısı The Grugq, Check Point’in ChatGPT’nin “kodlamada berbat olan siber suçluları aşırı derecede suçlayacağına” ilişkin iddialarıyla alay etti.
“Alanları kaydettirmek ve altyapıyı korumak zorundalar. Web sitelerini yeni içerikle güncellemeleri ve zar zor çalışan yazılımın biraz farklı bir platformda zar zor çalışmaya devam ettiğini test etmeleri gerekiyor. The Grugq, altyapılarını sağlık açısından izlemeleri ve kampanyalarının ‘en utanç verici 5 kimlik avı saldırısı’ hakkında bir makalede yer almadığından emin olmak için haberlerde neler olup bittiğini kontrol etmeleri gerekiyor” dedi. “Aslında kötü amaçlı yazılım almak ve onu kullanmak, alttan beslenen bir siber suçlu olmaya giden boktan işin küçük bir parçası.”
Bazıları, ChatGPT’nin kötü amaçlı kod yazma yeteneğinin bir sonucu olduğuna inanıyor.
“Savunanlar, ChatGPT’yi düşmanları simüle etmek için kod oluşturmak veya hatta işi kolaylaştırmak için görevleri otomatikleştirmek için kullanabilirler. F-Secure’un tehdit istihbarat lideri Laura Kankaala, kişiselleştirilmiş eğitim, gazete makaleleri tasarlama ve bilgisayar kodu yazma dahil olmak üzere çeşitli etkileyici görevler için zaten kullanılıyor. “Ancak, ChatGPT tarafından oluşturulan metin ve kod çıktısına tamamen güvenmenin tehlikeli olabileceğine dikkat edilmelidir – ürettiği kodda güvenlik sorunları veya güvenlik açıkları olabilir. Oluşturulan metinde tamamen olgusal hatalar da olabilir,” diye ekledi Kankaala, ChatGPT tarafından oluşturulan kodun güvenilirliği konusunda şüphe uyandırıyor.
ESET’ten Jake Moore, teknoloji geliştikçe, “ChatGPT girdilerinden yeterince şey öğrenirse, yakında potansiyel saldırıları anında analiz edebilir ve güvenliği artırmak için olumlu öneriler oluşturabilir” dedi.
ChatGPT’nin siber güvenliğin geleceğinde oynayacağı rol konusunda çelişkiye düşenler sadece güvenlik uzmanları değil. Chatbot’a soru sorduğumuzda ChatGPT’nin kendisi için ne söyleyeceğini de merak ettik.
Chatbot, “Nasıl uygulandığına ve onu kullananların niyetlerine bağlı olduğundan, ChatGPT’nin veya başka bir teknolojinin gelecekte nasıl kullanılacağını tam olarak tahmin etmek zor,” diye yanıtladı. “Nihayetinde, ChatGPT’nin siber güvenlik üzerindeki etkisi, nasıl kullanıldığına bağlı olacaktır. Potansiyel risklerin farkında olmak ve bunları azaltmak için uygun adımları atmak önemlidir.”