OpenAI’nin muazzam miktarda veriyi süpürme ve özel olarak uyarlanmış içerik sunma konusundaki baş döndürücü kapasitesi, teknolojinin siber güvenlik savunmaları da dahil olmak üzere her şeyi alt etme yeteneği hakkında her türlü endişe verici tahminin önünü açtı.
Gerçekten de, ChatGPT’nin en son yinelemesi, GPT-4, baro sınavını geçecek, binlerce kelimelik metin üretecek ve kötü amaçlı kod yazacak kadar akıllıdır. Ve herkesin kullanabileceği sadeleştirilmiş arayüzü sayesinde, OpenAI araçlarının herhangi bir küçük hırsızı birkaç dakika içinde teknik açıdan anlayışlı bir kötü niyetli kodlayıcıya dönüştürebileceğine dair endişeler sağlam temellere dayanıyordu ve hala da öyle. ChatGPT özellikli siber saldırılar, kullanıcı dostu arayüzünün Kasım 2022’de kullanıma sunulmasının hemen ardından ortaya çıkmaya başladı.
OpenAI’nin kurucu ortağı Greg Brockman, bu ay SXSW’de toplanan bir kalabalığa söyledi teknolojinin iki şeyi gerçekten iyi yapma potansiyelinden endişe duyduğunu: dezenformasyon yaymak ve siber saldırılar başlatmak.
“Artık bilgisayar kodu yazmakta daha iyi hale geldiklerine göre, [OpenAI] saldırgan siber saldırılar için kullanılabilir” dedi Brockman.
Bununla birlikte, OpenAI’nin sohbet robotunun siber güvenlik tehdidini azaltmak için ne yapmayı planladığına dair bir kelime yok. Şimdilik, bir savunma oluşturmak siber güvenlik topluluğuna kalmış gibi görünüyor.
Kullanıcıların ChatGPT’yi istenmeyen amaçlarla veya çok şiddetli ya da yasa dışı olduğu düşünülen içerikler için kullanmalarını engelleyen mevcut güvenlik önlemleri vardır, ancak kullanıcılar bu içerik sınırlamaları için hızlı bir şekilde jailbreak geçici çözümler bulmaktadır.
Bu tehditler endişe vericidir, ancak Birleşik Krallık Ulusal Siber Güvenlik Merkezi’nin yakın tarihli bir gönderisi de dahil olmak üzere büyüyen bir uzmanlar korosu, ChatGPT’nin ve büyük dil modellerinin (LLM’ler) yükselişiyle işletmelere yönelik gerçek tehlikelere ilişkin endişeleri hafifletiyor.
ChatGPT’nin Mevcut Siber Tehdidi
NCSC’nin blog yazısında, sohbet robotlarının çalışma ürünleri, daha az karmaşık görevlerle ilgilenerek zaman kazandırabilir, ancak kötü amaçlı kod yazmak gibi uzmanlık gerektiren işler yapmak söz konusu olduğunda, OpenAI’nin bunu sıfırdan yapma yeteneği henüz prime time için hazır değil.
“Daha karmaşık görevler için, bir uzmanın LLM’nin ürettiklerini düzeltmek için zaman harcamak yerine kötü amaçlı yazılımı sıfırdan oluşturması şu anda daha kolay” dedi. ChatGPT siber tehdidi yazı dedi. “Bununla birlikte, oldukça yetenekli kötü amaçlı yazılım oluşturma yeteneğine sahip bir uzmanın, bir LLM’yi yetenekli kötü amaçlı yazılım yazmaya ikna etmesi muhtemeldir.”
Kudelski Security’nin kıdemli araştırma direktörü Nathan Hamiel, ChatGPT’nin kendi başına bir siber saldırı aracı olarak sorunu, oluşturduğu kodun gerçekten çalışıp çalışmadığını test etme yeteneğinden yoksun olmasıdır.
Hamiel, “NCSC’nin değerlendirmesine katılıyorum,” diyor. “ChatGPT, ister doğru ister yanlış, ister işlevsel ister işlevsel olmayan bir kod çıkarıyor olsun, her talebe yüksek bir güvenle yanıt veriyor.”
daha fazlaGerçekçi olarak, siber saldırganların ChatGPT’yi kullandıkları gibi kullanabileceğini söylüyor. diğer araçları yapmak, kalem testi gibi.
ChatGPT Tehdidi “Çok Abartılı”
BT ekiplerine verilen zarar, aşırı gelişmiş siber güvenlik risklerinin ChatGPT ve OpenAI Sigma7’nin ortağı Jeffrey Wells’in işaret ettiği gibi, zaten kıt olan kaynakları daha acil tehditlerden uzaklaştırıyorlar.
“ChatGPT’den gelen tehditler büyük ölçüde abartılıyor,” diyor Wells, “Teknoloji henüz emekleme aşamasında ve bir tehdit aktörünün, mevcut çok sayıda kötü amaçlı yazılım veya kötü amaçlı yazılım veya Bilinen ve büyüyen güvenlik açıkları listesinden yararlanmak için kullanılabilen bir hizmet olarak suç (CaaS).
Wells, ChatGPT konusunda endişelenmek yerine, kurumsal BT ekiplerinin dikkatlerini siber güvenlik temellerine, risk yönetimine ve kaynak tahsis stratejilerine odaklaması gerektiğini ekliyor.
ChatGPT’nin ve tehdit aktörlerinin kullanabileceği bir dizi başka aracın değeri, onların insan hatasını kullanma yeteneklerine bağlıdır. diyor Bugcrowd’un kurucusu ve CTO’su Casey Ellis. Çare, insanın problem çözmesidir, diye belirtiyor.
Ellis, “Sektörümüzün var olmasının tüm nedeni, insan yaratıcılığı, insan başarısızlıkları ve insan ihtiyaçlarıdır” diyor. “Otomasyon ne zaman siber savunma sorununun bir bölümünü ‘çözse’, saldırganlar hedeflerine hizmet etmek için daha yeni tekniklerle bu savunmaları aşıp yenilik yapıyorlar.”
Ancak SlashNext CEO’su Patrick Harr, kuruluşları ChatGPT’nin oluşturabileceği uzun vadeli tehdidi hafife almamaları konusunda uyarıyor. Bu arada güvenlik ekipleri, savunmalarında benzer LLM’lerden yararlanmaya çalışmalı, diyor.
Harr, “ChatGPT’nin düşük riskli olduğunu öne sürmek, başınızı kuma gömmek ve yokmuş gibi devam etmek gibidir,” diyor. “ChatGTP, üretken AI devriminin yalnızca başlangıcıdır ve endüstrinin bunu ciddiye alması ve AI kaynaklı tehditlerle mücadele etmek için AI teknolojisi geliştirmeye odaklanması gerekiyor.”