Złośliwe oprogramowanie ChatGPT pokazuje, że nadszedł czas, aby „poważniej” podejść do kwestii bezpieczeństwa
Wiadomości dotyczące bezpieczeństwa
Kyle’a Alspacha
Analitycy bezpieczeństwa opublikowali w tym tygodniu ustalenia pokazujące, że narzędzie może być w rzeczywistości wykorzystywane do tworzenia złośliwego oprogramowania o dużej skuteczności.
Ponieważ badacze bezpieczeństwa wykazali, że ChatGPT OpenAI może być w rzeczywistości używany do pisania kodu złośliwego oprogramowania ze względną łatwością, dostawcy usług zarządzanych powinni zwracać szczególną uwagę.
W tym tygodniu badacze z dostawców zabezpieczeń, w tym CyberArk i Deep Instinct, opublikowali wyjaśnienia techniczne dotyczące używania narzędzia do automatyzacji pisania ChatGPT do generowania kodu dla złośliwego oprogramowania, w tym oprogramowania ransomware.
[Related: Google Cloud VP Trashes ChatGPT: Not Cool]
Podczas gdy ostatnio szeroko krążyły obawy dotyczące możliwości wykorzystania ChatGPT w ten sposób, badacze CyberArk, Eran Shimony i Omer Tsarfati, opublikowali wyniki pokazujące, że narzędzie to może być w rzeczywistości wykorzystywane do tworzenia złośliwego oprogramowania o dużej zdolności unikania ataków, znanego jako złośliwe oprogramowanie polimorficzne.
Na podstawie ustaleń jasne jest, że ChatGPT można „łatwo wykorzystać do tworzenia polimorficznego złośliwego oprogramowania” – napisali naukowcy.
Tymczasem Bar Block, badacz zagrożeń Deep Instinct, napisał, że istniejące kontrole w ChatGPT zapewniają, że narzędzie nie stworzy złośliwego kodu dla użytkowników, którzy nie mają wiedzy na temat wykonywania złośliwego oprogramowania.
Jednak „ma potencjał przyspieszenia ataków dla tych, którzy to robią [have such knowledge]”, napisał blok. „Wierzę, że ChatGPT będzie nadal opracowywać środki zapobiegające [malware creation]ale jak pokazano, istnieją sposoby zadawania pytań, aby uzyskać oczekiwane wyniki”.
Według Michaela Oh, założyciela i prezesa bostońskiego dostawcy usług zarządzanych Tech Superpowers, dotychczasowe badania pokazują, że obawy dotyczące potencjalnego wykorzystania ChatGPT przez złośliwych cyberprzestępców jako broni nie są bezpodstawne.
„To po prostu przyspiesza tę grę w kotka i myszkę” między cyberprzestępcami a obrońcami, powiedział Oh.
Powiedział, że w rezultacie wszyscy MSP lub MSSP (dostawcy zarządzanych usług bezpieczeństwa), którzy uważają, że wciąż mają więcej czasu, aby zapewnić swoim klientom pełną ochronę, powinni ponownie rozważyć to stanowisko.
Co więcej, potencjał ChatGPT do tworzenia złośliwego oprogramowania powinien „skłonić nas do poważniejszego podejścia do zatykania wszystkich dziur” w środowiskach IT klientów, powiedział Oh.
Na początku tego miesiąca badacze z firmy Check Point zajmującej się cyberbezpieczeństwem ujawnili, że znaleźli dowody na „pierwsze przypadki wykorzystania przez cyberprzestępców OpenAI do tworzenia złośliwych narzędzi”. Ujawnienie skłoniło Dominicka Delfino, globalnego wiceprezesa ds. sprzedaży cyberbezpieczeństwa w Google Cloud, do napisania na LinkedIn: „Jeśli uważasz, że ChatGPT jest fajny. Co to jest [it’s] do czego służy”.
OpenAI, który stoi również za generatorem obrazów DALL-E 2 i którego sponsorami jest Microsoft, po raz pierwszy wprowadził ChatGPT w listopadzie. Chatbot zyskał ogromną popularność dzięki zdolności do skutecznego naśladowania ludzkiego pisania i rozmowy podczas odpowiadania na podpowiedzi lub pytania użytkowników.