Изкуственият интелект (ИИ) има потенциала да направи революция в много аспекти на живота ни, включително в подхода ни към киберсигурността. Той обаче също така носи нови рискове и предизвикателства, които трябва да бъдат внимателно управлявани.
Един от начините, по които ИИ може да се използва в киберсигурността, е чрез разработването на интелигентни системи, които могат да откриват и да реагират на киберзаплахи.
Това беше отговорът на чатбота с ИИ, когато го помолихме да напише статия за ИИ и киберзаплахите. Сигурен съм, че вече знаете, че говорим за най-популярното момче в града – ChatGPT.
През ноември 2022 г. OpenAI, компания за изследвания и разработки в областта на ИИ, представи ChatGPT (Generative Pre-trained Transformer), базиран на разновидност на нейния модел InstructGPT, който се обучава върху огромен пул от данни, за да отговаря на запитвания. Той взаимодейства по разговорен начин, след като получи подробна подкана, признава грешки и дори отхвърля неподходящи заявки. Въпреки че в момента е налична само за бета тестове, тя стана изключително популярна сред обществеността. OpenAI планира да пусне усъвършенствана версия, ChatGPT-4, през 2023 г.
ChatGPT се различава от другите модели на изкуствен интелект по това, че може да пише софтуер на различни езици, да отстранява грешки в кода, да обяснява сложна тема по няколко начина, да се подготвя за интервю или да съставя есе. Подобно на това, което човек може да направи чрез уеб търсене, за да научи тези теми, СhatGPT улеснява такива задачи, като дори предоставя крайния резултат.
Вълната от инструменти и приложения с изкуствен интелект се разраства от известно време насам. Преди ChatGPT нашумяха приложението за изкуствен интелект Lensa и Dall-E 2 за дигитално създаване на изображения от текст. Въпреки че тези приложения показаха изключителни резултати, които биха могли да бъдат приятни за използване, общността на дигиталните художници не беше много щастлива, че тяхната работа, която е била използвана за обучението на тези модели, сега се използва срещу тях, тъй като това породи сериозни опасения за неприкосновеността на личния живот и етични проблеми. Художниците са установили, че работата им е била използвана за обучение на модела и сега е използвана от потребителите на приложенията за създаване на изображения без тяхното съгласие.
Както всяка нова технология, ChatGPT има своите предимства и предизвикателства и ще окаже значително въздействие върху пазара на киберсигурност.
ИИ е обещаваща технология, която може да помогне за разработването на усъвършенствани продукти за киберсигурност. Мнозина смятат, че по-широкото използване на ИИ и машинното обучение са от решаващо значение за по-бързото идентифициране на потенциални заплахи. ChatGPT може да изиграе решаваща роля при откриването и реагирането на кибератаки и подобряването на комуникацията в организацията в такива моменти. Тя може да се използва и за програми за възнаграждение за откриване на грешки. Но където има технология, там има и киберрискове, които не трябва да се пренебрегват.
ChatGPT няма да напише зловреден код, ако бъде помолен да напише такъв; той има предпазни огради, като например протоколи за сигурност за идентифициране на неподходящи заявки.
Но през последните няколко дни разработчиците опитаха различни начини да заобиколят протоколите и успяха да получат желания резултат. Ако вместо директна подкана дадена заявка е достатъчно подробна, за да обясни на бота стъпките за писане на зловреден софтуер, той ще отговори на заявката, като ефективно конструира зловреден софтуер по заявка.
Като се има предвид, че вече има престъпни групи, които предлагат зловреден софтуер като услуга, с помощта на програма с изкуствен интелект като ChatGPT скоро може да стане по-бързо и по-лесно за нападателите да извършват кибератаки с помощта на генериран от изкуствен интелект код. ChatGPT дава възможност дори на по-малко опитни нападатели да напишат по-точен код на зловреден софтуер, което преди това можеше да се прави само от експерти.
ChatGPT е отличен в отговарянето на всякакви заявки за съдържание, като например имейли и есемеси. Това е особено приложимо, когато се съчетае с метод за атака, наречен компрометиране на бизнес имейли, или BEC.
При BEC нападателите използват шаблон, за да генерират измамен имейл, който подлъгва получателя да предостави на нападателя желаната от него информация или актив.
За откриване на атаките BEC често се използват инструменти за сигурност, но с помощта на ChatGPT нападателите потенциално биха могли да разполагат с уникално съдържание за всеки имейл, генериран за тях с помощта на изкуствен интелект, което прави тези атаки по-трудни за откриване.
По подобен начин писането на фишинг имейли може да стане по-лесно, без каквито и да било правописни грешки или уникални формати, които днес често са от решаващо значение за разграничаването на тези атаки от легитимните имейли. Страшното е, че е възможно да може да се добавят колкото се може повече варианти на подкана, като например „да накарате имейла да изглежда спешен“, „имейл с голяма вероятност получателите да кликнат върху връзката“, „имейл със социално инженерство с искане за банков превод“ и т.н.
По-долу беше моятнашият опит да видим как ChatGPT ще отговори на нашата подкана и тя върна резултати, които бяха изненадващо добри.
Инструментът ChatGPT е трансформиращ в много сценарии за киберсигурност, ако се използва добре.
От нашия опит в проучванията с инструмента и от това, което обществеността публикува онлайн, ChatGPT се оказва точен при най-подробните заявки, но все още не е толкова точен, колкото човек. Колкото повече подсказки се използват, толкова повече моделът се самообучава.
Интересно е да се види какви потенциални приложения – положителни и отрицателни – ще има ChatGPT. Едно нещо е сигурно: индустрията не може просто да чака и да наблюдава дали това не създава проблем със сигурността. Заплахите от изкуствения интелект не са нов проблем, той е съществувал, просто сега ChatGPT показва отчетливи примери, които изглеждат плашещо. Очакваме, че доставчиците на системи за сигурност ще бъдат по-активни, за да прилагат поведенчески инструменти, базирани на ИИ, за откриване на тези атаки, генерирани от ИИ.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.