کمیته رکن چهارم – کارشناسان امنیت سایبری پس از رونمایی از گوگل بارد، از وجود نقصهای امنیتی آشکار در این هوش مصنوعی خبر دادند.
تحقیقات جدید ادعا میکند که اگر ChatGPT به شما اجازه نمیدهد از آن برای ایجاد ایمیلهای فیشینگ و سایر محتوای مخرب استفاده کنید، فقط به گوگل بارد بروید زیرا محدودیتهای امنیتی آن بسیار راحتتر است.
محققان امنیت سایبری Check Point موفق شدند از ابزار هوش مصنوعی غول ردموندی یعنی گوگل برای ایجاد یک ایمیل فیشینگ، یک کیلاگر و چند کد باجافزار ساده استفاده کنند.
در این مقاله، محققان جزئیاتی را در مورد نحوه قرارگیری Bard در کنار ChatGPT از نظر امنیت شرح میدهند. آنها سعی کردند سه چیز را از هر دو پلتفرم دریافت کنند: ایمیلهای فیشینگ، کیلاگرهای بدافزار و برخی از کدهای باج افزار اولیه.
صرفاً درخواست از هر دو پلتفرم برای ایمیل فیشینگ نتیجهای نداشت، اما درخواست از آنها برای نمونهای از ایمیلهای فیشینگ، توسط بارد بهخوبی انجام شد. از سوی دیگر، ChatGPT اعلام کرد که این کار به معنای شرکت در فعالیتهای کلاهبرداری است که غیرقانونی است.
سپس آنها به سمت کیلاگرها رفتند، جایی که هر دو پلتفرم تا حدودی بهتر عمل کردند. باز هم، یک سوال مستقیم نتیجهای نداشت، اما حتی با یک سوال ترفند، هر دو پلتفرم رد شدند. محققان همچنین در اینجا اشاره کردند که چگونه پلتفرمهای مختلف پاسخهای متفاوتی دادند. ChatGPT در پاسخ خود بسیار دقیق تر بود، در حالی که بارد به سادگی گفت: «من نمی توانم در این مورد کمک کنم، من فقط یک مدل زبان هستم.»
در نهایت، درخواست از پلتفرمها برای ارائه یک کیلاگر برای ثبت کلیدهای خود (برخلاف کلیدهای شخص دیگری به عنوان مثال یک قربانی)، باعث شد هم ChatGPT و هم بارد کدهای مخرب تولید کنند. اگرچه ChatGPT یک سلب مسئولیت کوتاه اضافه کرد.
در نهایت، محققان تصمیم گرفتند که از Bard بخواهند برای یک اسکریپت باجافزار اولیه، کد تولید کند. این کار بسیار سختتر از ایمیلهای فیشینگ و کیلاگرها انجام شد، اما در پایان، محققان موفق شدند بارد را وادار به بازی کند.
محققان نتیجه گرفتند: محدود کنندههای ضد سوءاستفاده Bard در حوزه امنیت سایبری بهطور قابل توجهی در مقایسه با ChatGPT کمتر است. در نتیجه، تولید محتوای مخرب با استفاده از قابلیتهای Bard بسیار سادهتر است.
هر فناوری جدیدی، صرف نظر از اینکه برای چه منظوری مورد استفاده قرار میگیرد، برای اهداف مخرب نیز میتواند مورد سوءاستفاده قرار گیرد. مشکل هوش مصنوعی مولد، پتانسیل آن است. این یک ابزار بسیار قدرتمند است و به همین دلیل میتواند اسکریپت امنیت سایبری را کاملاً تغییر دهد. محققان امنیت سایبری و مجریان قانون قبلاً هشدار داده بودند که از ابزارهای مولد هوش مصنوعی میتوان برای ایجاد ایمیلهای فیشینگ قانعکننده، بدافزارها و موارد دیگر استفاده کرد. حتی مجرمان سایبری با حداقل دانش کدنویسی اکنون میتوانند در حملات سایبری پیچیده شرکت کنند.
این بدان معناست که موانع ورود به طور قابل توجهی کاهش یافته است و تیمهای فناوری اطلاعات که از سازمانها در سراسر جهان دفاع میکنند زمان بینهایت سختتری برای دفاع از محل خود خواهند داشت.
در حالی که تنظیمکنندهها و مجریان قانون تمام تلاش خود را میکنند تا چارچوبی برای فناوری ایجاد کنند و از استفاده اخلاقی آن اطمینان حاصل کنند، توسعهدهندگان نیز تلاش میکنند تا نقش خود را ایفا کنند و به پلتفرمها آموزش دهند تا استفاده برای فعالیتهای غیرقانونی را کاهش دهند.
اما مانند هر صنعت دیگری، بازار هوش مصنوعی مولد غیرمتمرکز است. مطمئناً، بازیگران بزرگ همیشه زیر نظر تنظیمکنندهها و مجریان قانون خواهند بود، اما شرکتهای کوچکتر، بهویژه آنهایی که توانایی جلوگیری از سوءاستفاده را ندارند، تقریباً به طور قطع برای جرایم سایبری استفاده خواهند شد.
برای برخی از محققان و کارشناسان امنیتی، پاسخ این است که باید مقابله به مثل کرد و از هوش مصنوعی برای تقویت وضعیت امنیت سایبری استفاده کرد. در حالی که هوش مصنوعی در حال حاضر برای شناسایی ترافیک شبکه مشکوک و سایر رفتارهای مخرب استفاده میشود، نمیتواند مانع ورود به جایی که قبلا وجود داشته است را افزایش دهد. آن در دیگر هرگز بسته نمیشود.
منبع: افتانا