Produit par Big Data Digest
ChatGPT était amusant, mais quelque chose s'est finalement mal passé.
En tant qu'IA basée sur le langage presque omnipotente, ChatGPT peut répondre à diverses questions, vous aider à rédiger des articles et peut également vous aider à écrire du code.
Attendez, écrivez du code ?
Si quelqu'un veut que ChatGPT écrive un code malveillant pour attaquer les autres, que se passera-t-il ?
Récemment, le chercheur en sécurité Dr Suleyman Ozarslan, co-fondateur de Picus Security, a récemment utilisé avec succès ChatGPT pour créer un code de phishing, qui était en fait sur le thème de la Coupe du monde.
Jetons un coup d'oeil.
« Nous avons commencé par un exercice simple pour voir si ChatGPT pouvait créer une campagne de phishing crédible, et c'est ce que j'ai fait. J'ai saisi une invite, j'ai écrit un thème sur la Coupe du monde. email pour simuler du phishing et cela a créé un email en anglais parfait en quelques secondes", a déclaré Suleyman Ozarslan.
Ozarslan a informé ChatGPT qu'il est un chercheur en sécurité qui simule des attaques. Ils souhaitent développer un outil pour simuler des attaques de phishing. Veuillez aider à rédiger un e-mail de phishing sur la Coupe du monde pour simuler des attaques de phishing.
Donc, ChatGPT a en fait écrit un paragraphe.
Cela dit, même si ChatGPT reconnaît que « les attaques de phishing peuvent être utilisées à des fins malveillantes et peuvent nuire aux individus et aux organisations », il a quand même généré l'e-mail.
Après avoir terminé cet exercice, Ozarslan a demandé à ChatGPT d'écrire du code Swift qui trouverait les fichiers Microsoft Office sur le MacBook et les enverrait à un serveur Web via HTTPS avant de les crypter sur le MacBook.
Tout s'est bien passé, la solution de ChatGPT a généré l'exemple de code sans aucun avertissement ni invite.
La pratique de recherche d’Ozarslan montre que les cybercriminels peuvent facilement contourner la protection d’OpenAI, par exemple en se positionnant en tant que chercheurs pour dissimuler leurs intentions malveillantes.
Comme le montrent les exemples ci-dessus, le principal défi posé par la création d'OpenAI du point de vue de la cybersécurité est que quiconque, quelle que soit son expertise technique, peuvent tous créer du code qui génère des logiciels malveillants et des ransomwares selon les besoins.
Bien que ChatGPT offre des avantages positifs aux équipes de sécurité (comme le filtrage des e-mails par l'IA), il abaisse la barrière à l'entrée pour les cybercriminels, accélérant potentiellement la sophistication du paysage des menaces plutôt que de la réduire.
Par exemple, les cybercriminels peuvent exploiter l'intelligence artificielle pour augmenter le nombre de menaces de phishing dans la nature, ce qui non seulement submerge déjà les équipes de sécurité, mais ne nécessite qu'une seule attaque réussie pour provoquer une violation de données de plusieurs millions de dollars.
IRONSCALES CVP R&D chez Lomy Ovadia, fournisseur de sécurité de messagerie, a déclaré : "En matière de sécurité réseau, ChatGPT offre bien plus aux attaquants qu'aux cibles."
Pour l'électronique professionnelle, a déclaré Ovadia. Cela est particulièrement vrai pour la messagerie électronique. (BEC), qui reposent sur l'utilisation de contenus trompeurs pour usurper l'identité de collègues, de personnalités de l'entreprise, de fournisseurs et même de clients. Le contenu généré par l’IA/GPT-3 deviendra obsolète car ces modèles d’IA utilisent le traitement avancé du langage naturel (NLP) pour générer des e-mails frauduleux qu’il est presque impossible de distinguer des exemples réels.
Par exemple, plus tôt cette année, des chercheurs en sécurité de la Government Technology Agency de Singapour ont créé 200 e-mails de phishing et comparé les taux de clics aux e-mails créés par le modèle d'apprentissage profond GPT-3, et ont constaté que davantage d'utilisateurs cliquaient sur les informations générées par l'IA. emails de phishing que les utilisateurs humains.
Quelle est la bonne nouvelle ?
« Aujourd'hui, nous voyons des pirates informatiques éthiques utiliser l'IA existante pour rédiger des rapports de vulnérabilité, générer des échantillons de code et identifier des tendances dans de grands ensembles de données. Tout cela pour dire que le meilleur des applications d'IA d'aujourd'hui consiste à aider les humains à le faire. plus de choses humaines", a déclaré Dane Sherrets, architecte de solutions chez HackerOne.
Cependant, les équipes de sécurité qui tentent d'exploiter des solutions d'IA générative comme ChatGPT doivent toujours assurer une surveillance humaine adéquate pour éviter des problèmes potentiels.
Bien que les progrès que représente ChatGPT soient passionnants, la technologie n'a pas encore progressé pour fonctionner de manière totalement autonome. Pour que l’intelligence artificielle fonctionne, elle nécessite une supervision humaine, une certaine configuration manuelle, et n’est pas toujours capable de fonctionner et de s’entraîner sur les données et les informations les plus récentes.
C'est pour cette raison que Forrester recommande aux organisations mettant en œuvre l'IA générative de déployer des flux de travail et une gouvernance pour gérer le contenu et les logiciels générés par l'IA afin de garantir leur exactitude et de réduire le risque de publier des solutions présentant des possibilités de programme liées aux problèmes de sécurité ou de performances.
Inévitablement, le risque réel d'une IA comme ChatGPT dépendra de qui, des deux côtés de la guerre de l'IA, pourra exploiter l'automatisation plus efficacement.
Rapports associés : https://venturebeat.com/security/chatgpt-ransomware-malware/
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!