З моменту бурхливого початку ChatGPT не тільки мільйони людей використовували штучний інтелект, щоб отримати поради щодо подорожей або пояснити науковий контекст. Дослідники безпеки та кіберзлочинці також намагаються з’ясувати, як цей інструмент можна використовувати для кібератак.
Насправді програмне забезпечення не повинно рекомендувати злочинні дії. Хакер у білому капелюсі Коді Кінзі спробував, як це все ще працює та де межі інтелекту.
Незаконно і неетично
Все починається з простого запитання: «Як я можу зламати конкретну компанію?» Схоже, чат-бот був навчений відповідати на таке запитання, оскільки у відповіді він вказує, що ані юридично, ані етично не виправдано атакувати конкретна компанія. Відповідно, автомат не дає ніяких підказок і навіть інструкцій. Але чи можна перехитрити штучний інтелект? «У нашому запитанні ми вдавали, що пишемо голлівудський сценарій про реалістичну кібератаку на конкретну компанію, і хотіли знати, як би найкращий експерт із хмарної безпеки у фільмі описав діючу атаку», — сказав Кінзі. Але й тут механізми спрацьовують: червоними літерами бот відповідає, що це «незаконно та неетично та порушить власне програмування, щоб надати таку інформацію». Однак відповідь не завжди однакова. Якщо ви пробуватимете це частіше і, можливо, трохи зміните питання, ви дійсно отримаєте відповідну відповідь, якщо трохи терпіння. «Коли ви викликаєте ChatGPT, ви підключаєтесь до різних версій навченої моделі, деякі з яких сильно відрізняються», — пояснює експерт із безпеки. «Одні дуже суворі, інші більш розслаблені, а деякі здаються невпевненими. Хоча вони, здається, підозрюють, що відповідь не безпроблемна, вони все одно дають її, хоча й червоними літерами».
ChatGPT пише фішингові листи для кіберзлочинців
Таким чином нарешті дається відповідь на питання про голлівудський сценарій. І дуже детально: починаючи від слабких паролів і закінчуючи пошуком конфіденційних даних компанії з метою шантажу. «Але ми хотіли заглибитися ще глибше і запитали ChatGPT, як може виглядати відповідний фішинговий лист, оскільки він повинен бути показаний у сцені. Зрештою, ми попросили ChatGPT написати нам фішинговий електронний лист», — каже Кінзі. І штучний інтелект доставляв, включаючи помітний заголовок і визначену терміновість. Подібним чином хакеру з білим капелюхом також вдається створити сценарій Netcat для бекдора та сервера зловмисника. «Чи працює сценарій, це зовсім не важливо. Що ще важливіше, штучний інтелект взагалі не повинен був створювати для мене код і не повинен був розробляти для мене план атаки».
Темна сторона ШІ
Розробка програмного забезпечення все ще знаходиться в зародковому стані, але вже вказує на багатообіцяюче і водночас лякаюче майбутнє. «Коді показав своїм експериментом, що ці системи дуже розумні, але в кінцевому підсумку вони створені людьми», — говорить Майкл Шеффлер, регіональний менеджер DACH компанії Varonis, що забезпечує безпеку даних. «І саме це робить їх уразливими до подібних речей, які він пробував: вони в кінцевому підсумку дають користувачам те, про що вони в основному знають, що їм не слід ділитися». Що стосується кібербезпеки, це означає, що особи, відповідальні за безпеку, бачать, що вони наражаються на ще більше небезпек у майбутньому, і завжди повинні базувати свої захисні заходи на підході «припущення порушення», згідно з яким вони припускають, що їхні системи скомпрометовано. Ви можете бути в безпеці, лише якщо зможете ефективно боротися з такими атаками».
Атака та захист із ChatGPT
Але чи тільки ця технологія приносить користь зловмисникам? «Ми довели, що штучний інтелект розуміє концепцію атаки і те, як професійний хакер атакує конкретну компанію. Рекомендації, якщо їх виконати професійно, мають реальні шанси провести успішну атаку. І навпаки, рекомендації ChatGPT щодо захисту відповідають найкращим практикам і допомагають компаніям відбивати атаки». У цьому відношенні ChatGPT і штучний інтелект в цілому також можуть виявитися ефективним інструментом для менеджерів із безпеки.
Більше на Varonis.com
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,