chatgpt-og-mere-hvad-ai-chatbots-betyder-for-fremtiden-inden for-cybersikkerhed

Fra relativt simple opgaver som at skrive e-mails til mere komplekse opgaver som at skrive essays eller kompilere kode har ChatGPT - værktøjet til naturlig sprogbehandling drevet af kunstig intelligens fra OpenAI - vakt stor interesse siden lanceringen.

Det er på ingen måde perfekt, selvfølgelig - det er kendt for at lave fejl og fejl, da det misforstår den information, det lærer fra, men mange ser det, og andre AI-værktøjer, som fremtiden for, hvordan vi vil bruge internettet.

OpenAI's betingelser for brug af ChatGPT forbyder specifikt generering af ondsindet software, herunder ransomware, keyloggers, vira eller "anden software beregnet til at påføre skade". Det forbyder også forsøg på at skabe spam samt brugstilfælde rettet mod cyberkriminalitet.

Men som med enhver innovativ online teknologi, er der allerede personer, der eksperimenterer med, hvordan de kan udnytte ChatGPT til mere uklare formål.

Efter lanceringen tog det ikke lang tid, før cyberkriminelle begyndte at oprette tråde på undergrundsfora om, hvordan ChatGPT kunne bruges til at lette ondsindet cyberaktivitet, såsom at skrive phishing-e-mails eller hjælpe med at sammensætte malware.

Og der er bekymringer for, at skurke vil forsøge at bruge ChatGPT og andre AI-værktøjer, såsom Google Bard, som en del af deres bestræbelser. Selvom disse AI-værktøjer ikke vil revolutionere cyberangreb, kunne de stadig hjælpe cyberkriminelle - selv utilsigtet - med at udføre ondsindede kampagner mere effektivt.

"Jeg tror ikke, i hvert fald på kort sigt, at ChatGPT vil skabe helt nye typer angreb. Fokus vil være at gøre deres daglige operationer mere omkostningseffektive," siger Sergey Shykevich, manager for trusselsintelligensgruppen hos Check Point, et cybersikkerhedsfirma.

Også: Hvad er ChatGPT, og hvorfor betyder det noget? Her er alt, hvad du skal vide

Phishing-angreb er den mest almindelige del af ondsindede hacking- og svindelkampagner. Uanset om angriberne sender e-mails for at distribuere malware, phishing-links eller bruges til at overbevise en offer om at overføre penge, er e-mail det vigtigste værktøj i den indledende tvang.

Denne afhængighed af e-mail betyder, at bander har brug for en stabil strøm af klart og brugbart indhold. I mange tilfælde - især med phishing - er angriberens mål at overtale en person til at gøre noget, såsom at overføre penge. Heldigvis er mange af disse phishing-forsøg nemme at spotte som spam lige nu. Men en effektiv automatiseret copywriter kunne gøre disse e-mails mere overbevisende.

Cyberkriminalitet er en global industri, hvor kriminelle fra forskellige lande sender phishing-mails til potentielle mål rundt om i verden. Det betyder, at sprog kan være en barriere, især for mere sofistikerede speer-phishing-kampagner, der er afhængige af, at ofrene tror, de taler med en betroet kontakt -- og det er usandsynligt, at nogen vil tro, de taler med en kollega, hvis e-mailsne er fyldt med ukarakteristiske stave- og grammatikfejl eller mærkelig tegnsætning.

Men hvis AI udnyttes korrekt, kan en chatbot anvendes til at skrive tekst til emails på hvilket som helst sprog angriberen ønsker.

"Den store barriere for russiske cyberkriminelle er sprog - engelsk", siger Shykevich. "De ansætter nu nyuddannede inden for engelsk studier fra russiske universiteter til at skrive phishing-e-mails og arbejde i callcentre - og de skal betale penge for dette."

Han fortsætter: "Noget som ChatGPT kan spare dem meget penge på oprettelse af forskellige phishing-beskeder. Det kan bare forbedre deres liv. Jeg tror, det er den vej, de vil søge efter."

I teorien er der beskyttelsesforanstaltninger på plads, som er designet til at forhindre misbrug. For eksempel kræver ChatGPT, at brugere registrerer en e-mail-adresse, og det kræver også et telefonnummer til at bekræfte registreringen.

Og selvom ChatGPT vil nægte at skrive phishing-e-mails, er det muligt at bede den om at lave e-mail-skabeloner til andre beskeder, som ofte udnyttes af cyberangribere. Denne indsats kan omfatte beskeder såsom at hævde, at der tilbydes en årlig bonus, at der skal downloades og installeres en vigtig softwareopdatering, eller at der skal ses på et vedhæftet dokument som en sag af hast.

"At udforme en e-mail for at overbevise nogen om at klikke på et link for at opnå noget som en konferenceinvitation - det er ret godt, og hvis du er en ikke-engelsk talende, ser det virkelig godt ud," siger Adam Meyers, Senior Vice President for intelligence hos Crowdstrike, en cybersikkerheds- og trusselsintelligensudbyder.

"Du kan få den til at oprette en flot formuleret, grammatisk korrekt invitation, som du måske ikke ville være i stand til at gøre, hvis du ikke var engelsk som modersmål."

Men misbrug af disse værktøjer er ikke kun begrænset til e-mails; kriminelle kan bruge det til at hjælpe med at skrive script til enhver tekstbaseret online platform. For angribere, der udfører svindel eller endda avancerede cyber-trusselsgrupper, der forsøger at føre spionagekampagner, kan dette være et nyttigt værktøj - især til at oprette falske sociale profiler for at lokke folk til.

"Hvis du gerne vil generere plausibel forretningsjargon til LinkedIn for at få det til at se ud som om du er en ægte erhvervsdrivende, der forsøger at skabe forbindelser, er ChatGPT fantastisk til det," siger Kelly Shortridge, en cybersikkerhedsekspert og senior principal produktteknolog hos cloud-computing-udbyderen Fastly.

Forskellige hackinggrupper forsøger at udnytte LinkedIn og andre sociale medieplatforme som værktøjer til at udføre cyberespionagekampagner. Men at oprette falske, men legitime udseende onlineprofiler - og fylde dem med indlæg og beskeder - er en tidskrævende proces.

Shortridge mener, at angribere kan bruge AI-værktøjer som ChatGPT til at skrive overbevisende indhold, samtidig med at de nyder godt af at være mindre arbejdsintensive end at udføre arbejdet manuelt.

"Mange af den slags social engineering-kampagner kræver en masse arbejde, fordi du skal opsætte profilere," siger hun og hævder, at AI-værktøjer kunne sænke adgangsbarrieren betydeligt.

"Jeg er sikker på, at ChatGPT kunne skrive meget overbevisende tankelederskabsindlæg," siger hun.

Den teknologiske innovation betyder, at når noget nyt opstår, vil der altid være dem, der forsøger at udnytte det til malede formål. Og selv med de mest innovative metoder til at forsøge at forhindre misbrug, betyder de snedige cyberkriminelle og svindlere, at de sandsynligvis vil finde måder at omgå beskyttelser på.

"Der er ingen måde at fuldstændigt eliminere misbrug til nul. Det er aldrig sket med nogen system," siger Shykevich, der håber, at fremhævelsen af potentielle cybersikkerhedsproblemer vil betyde, at der er mere diskussion om, hvordan man kan forhindre, at AI-chatbots udnyttes til fejlagtige formål.

"Det er en fantastisk teknologi - men, som altid med ny teknologi, er der risici, og det er vigtigt at diskutere dem for at være opmærksom på dem. Og jeg tror, jo mere vi diskuterer, desto mere sandsynligt er det, at OpenAI og lignende virksomheder vil investere mere i at reducere misbrug," foreslår han.

Der er også en fordel ved cybersikkerhed i AI-chatbots som ChatGPT. De er særligt gode til at håndtere og forstå kode, så der er potentiale til at bruge dem til at hjælpe forsvarere med at forstå malware. Da de også kan skrive kode, er det muligt, at disse værktøjer, ved at assistere udviklere med deres projekter, kan hjælpe med at skabe bedre og mere sikker kode hurtigere, hvilket er godt for alle.

Som Forrester principal analyst Jeff Pollard skrev for nylig, kunne ChatGPT give en massiv reduktion i den tid, der bruges på at producere sikkerhedsincidentrapporter.

"At vende dem hurtigere betyder mere tid til at gøre de andre ting - testing, vurdering, undersøgelse og reaktion, alt sammen hjælper sikkerhedsteamene med at skabe skala," bemærker han og tilføjer, at en bot kunne foreslå næste anbefalede handlinger baseret på tilgængelige data.

"Hvis sikkerhedsopstilling, automatisering og respons er sat korrekt op til at fremskynde indhentningen af ​​artefakter, kan dette fremskynde opdagelse og respons og hjælpe [sikkerhedsoperationscenter] analytikere med at træffe bedre beslutninger", siger han.

Så chatbots kan gøre livet sværere for nogle inden for cybersikkerhed, men der kan også være sølvforinger.

ZDNET kontaktede OpenAI for en kommentar, men modtog ikke et svar. Dog spurgte ZDNET ChatGPT, hvilke regler den har på plads for at forhindre misbrug til phishing - og vi fik følgende tekst.

"Det er vigtigt at bemærke, at selvom AI-sprogmodeller som ChatGPT kan generere tekst, der ligner phishing-e-mails, kan de ikke udføre ondsindede handlinger på egen hånd og kræver brugerens hensigt og handlinger for at forårsage skade. Som sådan er det vigtigt, at brugerne udviser forsigtighed og sund dømmekraft, når de bruger AI-teknologi og er årvågne med hensyn til beskyttelse mod phishing og andre ondsindede aktiviteter."