Aktuálne klienta ChatGPT používam rôzne, napr. na kontrolu kódu či sumarizáciu informácií.

Dosť často vyhľadávam rôzne informácie na internete, lenže ChatGPT má navyše možnosť klásť doplňujúce otázky a zisťovať konkrétne detaily. Neviem ako vy, ale snaha nájsť odpoveď na nejasnú otázku pomocou vyhľadávania v Google vyhľadávači je časovo náročná a začína byť aj pomerne frustrujúca. ChatGPT to robí oveľa jednoduchšie a rýchlejšie.

Tento módny chatbot má mnoho schopností a jednou z nich je aj napísanie „polymorfného“ malvéru, ktorý môže zničiť váš počítač. Podľa nedávno zverejnenej správy bezpečnostnej spoločnosti CyberArk je chatbot od OpenAI výnimočne dobrý vo vývoji škodlivých programov, ktoré dokážu excelentne zamávať s vaším hardvérom. Odborníci na kyber-bezpečnosť sa snažia biť na poplach, že tento nový nástroj poháňaný umelou inteligenciou by mohol zmeniť pravidlá hry, pokiaľ ide o počítačovú kriminalitu, hoci o používaní chatbota na vytváranie zložitejších typov malvéru sa zatiaľ vo veľkom ešte nepísalo.

Výskumníci spoločnosti CyberArk píšu, že kód vyvinutý s pomocou ChatGPT vykazoval „pokročilé schopnosti“, ktoré by mohli „ľahko obísť bezpečnostné produkty“, čo je špecifická podkategória malvéru známa ako „polymorfný“.

Čo konkrétne znamená „polymorfný“?

Podľa kybernetických expertov zo spoločnosti CrowdStrike je to stručná odpoveď:

Polymorfný vírus, niekedy označovaný ako metamorfný vírus, je typ malvéru, ktorý je naprogramovaný tak, aby opakovane mutoval svoj vzhľad alebo podpisové súbory prostredníctvom nových dešifrovacích postupov. To spôsobuje, že mnohé tradičné nástroje kybernetickej bezpečnosti, ako sú antivírusové alebo antimalvérové riešenia, ktoré sa spoliehajú na detekciu založenú na signatúrach, nedokážu hrozbu rozpoznať a zablokovať.

V podstate ide o škodlivý softvér, ktorý dokáže kryptograficky meniť svoje tvary a obchádzať tradičné bezpečnostné mechanizmy, z ktorých mnohé sú vytvorené na identifikáciu a detekciu signatúr škodlivých súborov.

Napriek tomu, že ChatGPT má mať filtre, ktoré zabraňujú vytváraniu škodlivého softvéru, výskumníci dokázali tieto prekážky prekonať len tým, že trvali na tom, aby sa riadil príkazmi podnetu.

Inými slovami, jednoducho platformu „zastrašili“, aby splnila ich požiadavky – čo pozorovali aj iní experimentátori, keď sa pokúšali pomocou chatbota vyčarovať iné druhy toxického obsahu. Pre výskumníkov zo spoločnosti CyberArk išlo len o to, aby ChatGPT prinútili zobraziť kód konkrétneho škodlivého programu – ktorý potom mohli použiť na zostavenie komplexných exploitov, ktoré sa vyhýbajú obrane.

Výsledkom je, že ChatGPT by mohol výrazne uľahčiť prácu hackerským útokom, ktoré potrebujú trochu pomôcť pri generovaní škodlivých programov.

„A ako sme videli, aj používanie rozhrania API ChatGPT v rámci škodlivého softvéru môže predstavovať pre bezpečnostných odborníkov značné výzvy,“ uvádza sa v správe spoločnosti CyberArk. „Je dôležité si uvedomiť, že nejde len o hypotetický scenár, ale o skutočný reálny problém.“.

Ďalším rizikom, ktoré sa zvyšuje s pribúdajúcim počtom organizácií, ktoré vytvárajú obsah v ChatGPT/LLM je, že dopyty uložené online môžu byť hacknuté, uniknúť, alebo, čo je pravdepodobnejšie, náhodne môžu byť sprístupnené verejnosti. To by mohlo zahŕňať potenciálne informácie umožňujúce na identifikáciu používateľa. Obdobným rizikom je,  že ich od prevádzkovateľa ChatGPT/ LLM neskôr získa iná organizácia s iným prístupom k ochrane osobných údajov, než aký bol v čase, keď údaje zadávali jeho používatelia.

Osobne som očakával od našich kyber-bezpečnostných autorít odpoveď aj na otázku: „Teda ako môžem bezpečne poskytnúť citlivé informácie ChatGPT/LLM?“. Do tejto chvíle som na túto tematiku žiadnu reakciu nazaznamenal.

Jednoducho, ak to zhrnieme, v blízkej budúcnosti môžeme byť svedkami:

  • presvedčivejšie phishingové e-maily ako výsledok tvorby v ChatGPT/LLM,
  • útočníci vyskúšajú techniky, ktoré sa predtým ešte nepoužili a/alebo sme ich nepoznali,
  • existuje aj riziko, že menej kvalifikovaný útočník napíše vysoko schopný malvér.

Poznámka pre čitateľa: Tento článok nebol napísaný s pomocou klienta ChatGPT, námetom pre jeho napísanie bol príspevok od „Národného centra kybernetickej bezpečnosti Veľkej Británie

Zdroj: „ChatGPT and large language models: what’s the risk?

Julo Kováč, peerIT

Máte pripomienku alebo otázku k článku? Napíšte nám na redakcia@touchit.sk alebo priamo autorovi článku. Ďakujeme.