Aktualności TechNews 17 marca 2023
OpenAI wydało niedawno nową wersję oprogramowania do uczenia maszynowego GPT-4, mającą zupełnie nowe funkcjonalności, jednak okazuje się, że aplikacja – wbrew zapewnieniom – wciąż może wspierać działania cyberprzestępców. Eksperci firmy Check Point Software jako pierwsi udowodnili, że blokady bezpieczeństwa ChatGPT-4 mogą być omijane w celu wykorzystywania narzędzia do tworzenia ataków phishingowych.
To zaprzeczenie najważniejszej cechy jaką podkreślano podczas wprowadzania nowej wersji aplikacji. Miała ona posiadać reguły chroniące ją przed wykorzystaniem przez cyberprzestępców. Jednak w ciągu kilku dni badacze oszukali system, aby tworzył złośliwe oprogramowanie i pomagał im w tworzeniu wiadomości phishingowych, tak jak zrobili to w przypadku poprzedniej iteracji oprogramowania OpenAI, ChatGPT. Z drugiej strony byli również w stanie użyć oprogramowania do łatania dziur w cyberobronie.
Badacze z firmy Check Point Software zajmującej się bezpieczeństwem cybernetycznym przedstawili analizę, z której wynika, że ominęli blokady OpenAI dotyczące tworzenia złośliwego oprogramowania, po prostu usuwając słowo „złośliwe oprogramowanie” w żądaniu. GPT-4 pomógł im następnie stworzyć oprogramowanie, które zbierało pliki PDF i wysyłało je na zdalny serwer. Co więcej, aplikacja doradziła badaczom jak uruchomić go na komputerze z systemem Windows 10 i zmniejszyć plik, aby mógł działać szybciej i mieć mniejszą szansę na wykrycie przez oprogramowanie zabezpieczające.
Aby GPT-4 pomógł w tworzeniu wiadomości phishingowych, naukowcy przyjęli dwa podejścia. W pierwszym wykorzystali GPT-3.5, który nie blokował żądań tworzenia złośliwych wiadomości, aby napisać wiadomość phishingową podszywającą się pod legalny bank. Następnie poprosili GPT-4, który początkowo odmówił stworzenia oryginalnej wiadomości phishingowej, o ulepszenie języka. W drugim poprosili o poradę, jak stworzyć kampanię uświadamiającą o phishingu dla firmy i poprosili o szablon fałszywej wiadomości phishingowej, którą narzędzie należycie dostarczyło.
– GPT-4 może wyposażyć cyberprzestępców lub laików, w narzędzia przyspieszające i sprawdzające ich działania – zauważyli analitycy Check Pointa w swoim raporcie. – Widzimy, że GPT-4 może służyć zarówno dobrym, jak i złym celom. Można używać GPT-4 do tworzenia i łączenia kodu, który jest użyteczny dla społeczeństwa, ale jednocześnie można wykorzystywać tę technologię sztucznej inteligencji do szybkiego wdrażania cyberprzestępczości – twierdzi Sergey Shykevich, kierownik działu badań zagrożeń w firmie Check Point Software.
Ekspert dodaje, że bariery powstrzymujące GPT-4 przed generowaniem phishingu lub złośliwego kodu były w rzeczywistości mniejsze niż w poprzednich wersjach. Zasugerował, że może to być spowodowane faktem, że firma polega na tym, że obecnie dostęp mają tylko użytkownicy premium. Dodał jednak, że OpenAI powinien był spodziewać się takich obejść. – Myślę, że próbują im zapobiegać i je ograniczać, ale jest to gra w kotka i myszkę – przyznaje ekspert cyberbezpieczeństwa.
OpenAI nie odniosło się dotychczas do badania firmy Check Point.