chatgpt-og-mer-hva-ai-chatbots-betyr-for-fremtiden-av-cybersikkerhet

Fra relativt enkle oppgaver, som å skrive e-post, til mer komplekse jobber, inkludert å skrive essays eller kompilere kode, ChatGPT - den AI-drevne verktøyet for naturlig språkbehandling fra OpenAI - har generert enorm interesse siden lanseringen.

Det er på ingen måte perfekt, selvfølgelig -- det er kjent for å gjøre feil og feil fordi det tolker informasjonen det lærer fra, men mange ser det, og andre AI-verktøy, som fremtiden for hvordan vi vil bruke internett.

OpenAI sine vilkår for ChatGPT spesifikt forbyr generering av skadevare, inkludert ransomware, keyloggers, virus eller "annen programvare ment å forårsake skade". Det er også forbudt å forsøke å lage søppelpost, samt brukstilfeller rettet mot cyberkriminalitet.

Men som med enhver innovativ online teknologi, er det allerede mennesker som eksperimenterer med hvordan de kan utnytte ChatGPT til mer tvilsomme formål.

Etter lanseringen varte det ikke lenge før cyberkriminelle begynte å poste tråder på underjordiske fora om hvordan ChatGPT kunne brukes til å lette ondsinnet cyberaktivitet, som å skrive phishing-e-poster eller hjelpe til med å kompilere skadelig programvare.

Og det er bekymringer for at skurker vil prøve å bruke ChatGPT og andre AI-verktøy, som for eksempel Google Bard, som en del av sine forsøk. Mens disse AI-verktøyene ikke vil revolusjonere cyberangrep, kan de fortsatt hjelpe cyberkriminelle - selv utilsiktet - å gjennomføre ondsinnede kampanjer mer effektivt.

"Jeg tror ikke, i hvert fall på kort sikt, at ChatGPT vil skape helt nye typer angrep. Fokuset vil være å gjøre deres daglige drift mer kostnadseffektiv," sier Sergey Shykevich, leder for trusselintelligensgruppen hos Check Point, et cybersikkerhetsselskap.

Også: Hva er ChatGPT og hvorfor betyr det noe? Her er alt du trenger å vite

Phishing-angrep er den vanligste komponenten i ondsinnede hacking- og svindelkampanjer. Enten angriperne sender e-poster for å distribuere skadelig programvare, phishing-lenker eller brukes til å overbevise en offer om å overføre penger, er e-post det viktigste verktøyet i den innledende tvangssituasjonen.

Denne avhengigheten av e-post betyr at gjenger trenger en jevn strøm av tydelig og brukervennlig innhold. I mange tilfeller - spesielt med hensyn til phishing - er målet for angriperen å overtale et menneske til å gjøre noe, som for eksempel å overføre penger. Heldigvis er mange av disse phishing forsøkene enkle å oppdage som søppelpost akkurat nå. Men en effektiv automatisert tekstforfatter kunne gjort disse e-postene mer overbevisende.

Cyberkriminalitet er en global industri, der kriminelle i alle slags land sender phishing-e-poster til potensielle mål over hele verden. Dette betyr at språk kan være en barriere, spesielt for mer sofistikerte spear-phishing-kampanjer som er avhengige av at ofrene tror de snakker med en betrodd kontakt - og det er usannsynlig at noen tror de snakker med en kollega hvis e-postene er fulle av uvanlige stave- og grammatikkfeil eller underlig tegnsetting.

Men hvis kunstig intelligens utnyttes på riktig måte, kan en chatbot brukes til å skrive tekst for e-poster på hvilket som helst språk angriperen ønsker.

"Den største barrieren for russiske cyberkriminelle er språket - engelsk," sier Shykevich. "Nå ansetter de nyutdannede fra engelskstudier i russiske høyskoler for å skrive phishing-e-poster og jobbe i call sentre - og de må betale penger for dette."

Han fortsetter: «Noe som ChatGPT kan spare dem for mye penger ved å lage ulike typer svindelmeldinger. Det kan virkelig forbedre livet deres. Jeg tror det er den veien de vil gå etter."

I teorien er det iverksatt beskyttelsestiltak for å forhindre misbruk. For eksempel krever ChatGPT at brukere registrerer en e-postadresse og at de oppgir et telefonnummer for å verifisere registreringen.

Og selv om ChatGPT vil nekte å skrive phishing-e-poster, er det mulig å be den om å lage e-postmaler for andre meldinger, som ofte blir utnyttet av cyberangripere. Denne innsatsen kan inkludere meldinger som hevder at det tilbys årlige bonuser, at en viktig programvareoppdatering må lastes ned og installeres, eller at en vedlagt dokument må sees på som en nødsituasjon.

"Å utforme en e-post for å overbevise noen om å klikke på en lenke for å få noe som for eksempel en konferanseinvitasjon - det er ganske bra, og hvis du er en ikke-engelsk morsmålsbruker ser dette veldig bra ut," sier Adam Meyers, senior visepresident for etterretning hos Crowdstrike, en leverandør av cybersikkerhet og trusselintelligens.

"Du kan få den til å lage en pent formulert, grammatisk korrekt invitasjon som du kanskje ikke ville være i stand til å gjøre hvis du ikke var engelsk morsmål."

Men å misbruke disse verktøyene er ikke begrenset til bare e-post; kriminelle kan bruke det til å hjelpe med å skrive skript for hvilken som helst tekstdrevet online plattform. For angripere som driver med svindel, eller til og med avanserte cybertrusselgrupper som prøver å gjennomføre spionasjeaksjoner, kan dette være et nyttig verktøy - spesielt for å opprette falske sosiale profiler for å lokke folk inn.

"Hvis du ønsker å generere troverdig forretningsjargong-nonsens for LinkedIn for å få deg til å se ut som en ekte forretningsperson som prøver å knytte kontakter, er ChatGPT flott for det," sier Kelly Shortridge, en cybersikkerhetsekspert og senior hovedproduktteknolog hos skytjenesteleverandøren Fastly.

Flere hackergrupper prøver å utnytte LinkedIn og andre sosiale medieplattformer som verktøy for å drive cyber-espionage-kampanjer. Men å lage falske, men legitime utseende online profiler - og fylle dem med innlegg og meldinger - er en tidkrevende prosess.

Shortridge mener at angripere kan bruke AI-verktøy som ChatGPT til å skrive overbevisende innhold mens de samtidig har fordelen av å være mindre arbeidskrevende enn å gjøre arbeidet manuelt.

"Mange av disse typene sosiale ingeniørkampanjer krever mye innsats fordi du må opprette de profilene," sier hun, og argumenterer for at AI-verktøy kan senke inngangsbilletten betydelig.

"Jeg er sikker på at ChatGPT kan skrive veldig overbevisende tankelederskapsinnlegg," sier hun.

Naturen til teknologisk innovasjon betyr at når noe nytt oppstår, vil det alltid være de som prøver å utnytte det til ondsinnede formål. Og selv med de mest innovative metodene for å prøve å forhindre misbruk, betyr den slu naturen til cyberkriminelle og svindlere at de sannsynligvis vil finne måter å omgå beskyttelse på.

"Det er ingen måte å eliminere misbruk fullstendig til null. Det har aldri skjedd med noe system," sier Shykevich, som håper at fremheving av potensielle cybersikkerhetsproblemer vil føre til mer diskusjon om hvordan man kan forhindre at AI chatbots blir utnyttet til feilaktige formål.

"Det er en fantastisk teknologi - men, som alltid med ny teknologi, er det risikoer og det er viktig å diskutere dem for å være klar over dem. Og jeg tror jo mer vi diskuterer, desto mer sannsynlig er det at OpenAI og lignende selskaper vil investere mer i å redusere misbruk," foreslår han.

Det er også en fordel for cybersikkerhet med AI-chatbots, som ChatGPT. De er spesielt flinke til å håndtere og forstå kode, så det er potensial for å bruke dem til å hjelpe forsvarere med å forstå skadevare. Ettersom de også kan skrive kode, er det mulig at disse verktøyene, ved å hjelpe utviklere med prosjektene deres, kan bidra til å skape bedre og mer sikker kode raskere, noe som er bra for alle.

Som Forrester hovedanalytiker Jeff Pollard nylig skrev, kan ChatGPT bidra til en massiv reduksjon i den tiden det tar å produsere sikkerhetsrapporter for hendelser.

"Å få disse tingene raskere betyr mer tid til å gjøre andre ting - testing, vurdering, undersøkelse og respons, alt som hjelper sikkerhetsteamene å vokse," bemerker han og legger til at en bot kan foreslå neste anbefalte handlinger basert på tilgjengelige data.

"Hvis sikkerhetsorkestrering, automatisering og respons er konfigurert riktig for å akselerere henting av artifakter, kan dette akselerere oppdagelse og respons og hjelpe [sikkerhetssenter for operasjoner] analytikere til å ta bedre beslutninger," sier han.

Så, chatbots kan gjøre livet vanskeligere for noen innen cybersikkerhet, men det kan også være sølvforinger.

ZDNET kontaktet OpenAI for kommentar, men mottok ikke noe svar. Imidlertid spurte ZDNET ChatGPT om hvilke regler det har på plass for å forhindre at det misbrukes til phishing - og vi fikk følgende tekst.

"Det er viktig å merke seg at selv om AI språkmodeller som ChatGPT kan generere tekst som ligner på phishing-e-post, kan de ikke utføre skadelige handlinger på egen hånd og krever brukerens intensjon og handlinger for å forårsake skade. Derfor er det viktig for brukere å utvise forsiktighet og god dømmekraft når de bruker AI-teknologi, og være årvåken med tanke på å beskytte seg mot phishing og andre skadelige aktiviteter."