Η αρχική ανάλυση ασφαλείας του ChatGPT4 βρίσκει πιθανά σενάρια για την αύξηση του διαδικτυακού εγκλήματος

[nnn]

Δελτίο Τύπου:
Η Check Point Research (CPR) δημοσιεύει μια αρχική ανάλυση του ChatGPT4, αναδεικνύοντας πέντε σενάρια που μπορούν να επιτρέψουν στους δράστες να εκσυγχρονίσουν τις κακόβουλες προσπάθειες και προετοιμασίες ταχύτερα και με μεγαλύτερη ακρίβεια. Σε ορισμένες περιπτώσεις, ακόμη και μη έμπειροι κυβερνοεγκληματίες μπορούν να δημιουργήσουν επιβλαβή εργαλεία. Τα πέντε σενάρια που παρέχονται καλύπτουν την πλαστοπροσωπία τραπεζών, τα reverse shells, το κακόβουλο λογισμικό C++ και άλλα. Παρά την παρουσία διασφαλίσεων στο ChatGPT4, ορισμένοι περιορισμοί μπορούν εύκολα να παρακαμφθούν, επιτρέποντας στους δράστες να επιτύχουν τους στόχους τους χωρίς πολλά εμπόδια. Η CPR προειδοποιεί για τη δυνατότητα του ChatGPT4 να επιταχύνει την εκτέλεση εγκλημάτων στον κυβερνοχώρο και θα συνεχίσει την ανάλυσή της για την πλατφόρμα τις επόμενες ημέρες.

Η Check Point Research (CPR) έχει ρίξει μια αρχική ματιά στο ChatGPT4 και βρίσκει διάφορα σενάρια που επιτρέπουν στους δράστες να εξορθολογήσουν κακόβουλες προσπάθειες και προετοιμασίες, με αποτέλεσμα ταχύτερα και ακριβέστερα αποτελέσματα για την επιτάχυνση του εγκλήματος στον κυβερνοχώρο.

Σε ορισμένες περιπτώσεις, αυτά τα σενάρια δίνουν τη δυνατότητα σε άτομα χωρίς τεχνική κατάρτιση να δημιουργήσουν επιβλαβή εργαλεία, όπως η διαδικασία κωδικοποίησης, κατασκευής και packaging, σα να είναι μια απλή συνταγή. Παρά την παρουσία διασφαλίσεων στο ChatGPT4, ορισμένοι περιορισμοί μπορούν εύκολα να παρακαμφθούν, επιτρέποντας στους φορείς απειλής να επιτύχουν τους στόχους τους χωρίς πολλά εμπόδια.

Η CPR μοιράζεται πέντε σενάρια δυνητικά κακόβουλης χρήσης του ChatGPT4.

1. Κακόβουλο λογισμικό C++ που συλλέγει αρχεία PDF και τα στέλνει σε FTP
2. Ηλεκτρονικό ψάρεμα (phishing): Πλαστοπροσωπία τράπεζας
3. Ηλεκτρονικό ψάρεμα (phishing): Μηνύματα ηλεκτρονικού ταχυδρομείου σε υπαλλήλους
4. PHP Reverse Shell
5. Πρόγραμμα Java που κατεβάζει και εκτελεί putty που μπορεί να ξεκινήσει ως κρυφό powershell

Ο Oded Vanunu, Head of Products Vulnerabilities Research στην Check Point Software δήλωσε:
«Αφού βρήκαμε διάφορους τρόπους με τους οποίους το ChatGPT μπορεί να χρησιμοποιηθεί από χάκερ αλλά και πραγματικές περιπτώσεις, διαθέσαμε τις τελευταίες 24 ώρες για να δούμε αν άλλαξε κάτι με τη νεότερη έκδοση του. Ενώ η νέα πλατφόρμα βελτιώθηκε σαφώς σε πολλά επίπεδα, μπορούμε να αναφέρουμε ότι υπάρχουν πιθανά σενάρια όπου οι κακοποιοί μπορούν να επιταχύνουν το έγκλημα στον κυβερνοχώρο στο ChatGPT4. Το ChatGPT4 μπορεί να ενδυναμώσει εκείνους, ακόμη και τους μη καταρτισμένους τεχνικά, με τα εργαλεία για την επιτάχυνση και την επικύρωση της δραστηριότητάς τους. Μπορούν επίσης να χρησιμοποιήσουν τις γρήγορες απαντήσεις του ChatGPT4 για να ξεπεράσουν τις τεχνικές προκλήσεις στην ανάπτυξη κακόβουλου λογισμικού. Αυτό που βλέπουμε είναι ότι το ChatGPT4 μπορεί να εξυπηρετήσει τόσο καλές όσο και κακές πράξεις. Υπάρχει η δυνατότητα από κάποιους να χρησιμοποιήσουν το ChatGPT για να δημιουργήσουν και να στερεώσουν κώδικα που είναι χρήσιμος στην κοινωνία. Αλλά ταυτόχρονα από άλλους, να χρησιμοποιήσουν αυτήν την τεχνολογία AI για ταχεία εκτέλεση εγκλήματος στον κυβερνοχώρο. Καθώς η τεχνητή νοημοσύνη διαδραματίζει σημαντικό και αυξανόμενο ρόλο στις επιθέσεις στον κυβερνοχώρο και την άμυνα, αναμένουμε ότι αυτή η πλατφόρμα θα χρησιμοποιηθεί και από χάκερ και θα περάσουμε τις επόμενες ημέρες για να κατανοήσουμε καλύτερα πώς.

[tsigarid]

Το πρώτο που πρέπει να φτιάξουν είναι e-mail χωρίς τραγικά λάθη στη σύνταξη και γραμματική

[Φιλόσοφος_Στ@ρχίδας]

Κανένα proof of concept έδωσαν ή μόνο λόγια;

[aSMiLoN]

Κανένα proof of concept έδωσαν ή μόνο λόγια;

Εχεις δει το ChatGPT στην πραξη; Μπορει να παραγει για την πλακα του κειμενο, κωδικα, να δωσει οδηγιες και με την καταλληλη στοχευση ερωτησεων εχουν καταφερει να το βγαλουν εκτος των καθορισμενων παραμέτρων του. Καποιος που θα ηθελε να το χρησιμοποιησει κακοβουλα σιγουρα θα ψαξει να βρει παραθυρακια και κενα για να τα εκμεταλλευτει.

[ipo]

Με το ChatGPT μπορεί να παραγάγει εύκολα λειτουργικό κώδικα κάποιος που δεν έχει γνώσεις προγραμματισμού ή έστω έχει ελάχιστες γνώσεις σε κώδικα. Με δεδομένο ότι οι διαδικτυακές επιθέσεις χρειάζονται και τέτοιες δεξιότητες, πλέον είναι προσβάσιμες και σε εκείνους που δεν τις διαθέτουν.

Ακόμα και η μετάφραση που κάνει στα ελληνικά είναι καλυτερη, οπότε θα βοηθήσει και στο phishing που ανέφερε ο tsigarid.

Όπως όλα τα εργαλεία, δύναται να έχει καλή και κακή χρήση.

Αρχικά του λες να μεταφράσει:



Κατόπιν ζητάς να σου φτιάξει σχετικό κώδικα σε Javascript:



...για να παρουσιάσεις τη μετάφραση σε ιστοσελίδα:


Σου δίνει τον κώδικα που ζήτησες, εντός δευτερολέπτων και μάλιστα μπορείς να ζητήσεις βελτιστοποιήσεις ή αλλαγές σε αυτόν. Ενδέχεται να καταλαβαίνει καλύτερα τι θέλεις να κάνεις, από τον προγραμματιστή της γειτονιάς σου.

[Φιλόσοφος_Στ@ρχίδας]

Εχεις δει το ChatGPT στην πραξη; Μπορει να παραγει για την πλακα του κειμενο, κωδικα, να δωσει οδηγιες και με την καταλληλη στοχευση ερωτησεων εχουν καταφερει να το βγαλουν εκτος των καθορισμενων παραμέτρων του. Καποιος που θα ηθελε να το χρησιμοποιησει κακοβουλα σιγουρα θα ψαξει να βρει παραθυρακια και κενα για να τα εκμεταλλευτει.

Το έχω δει να παράγει πολλά πράγματα.
Παρόλα αυτά το ερώτημα παραμένει. Συνηθίζεται να δίνεις και παραδείγματα κακόβουλης χρήσης όταν αναφέρεσαι σε κάποια ευπάθεια ή κάποιο exploit.

[tsigarid]

Το έχω δει να παράγει πολλά πράγματα.
Παρόλα αυτά το ερώτημα παραμένει. Συνηθίζεται να δίνεις και παραδείγματα κακόβουλης χρήσης όταν αναφέρεσαι σε κάποια ευπάθεια ή κάποιο exploit.

Δεν μιλάνε για ευπάθεια ή exploit, απλά για χρήση σε παράνομες δραστηριότητες. Οι δημιουργοί λένε ότι έχουν δικλείδες ασφαλείας, αλλά υπάρχει ο φόβος ότι δεν είναι αρκετές.

[globalnoise]

Συνηθίζεται να δίνεις και παραδείγματα κακόβουλης χρήσης όταν αναφέρεσαι σε κάποια ευπάθεια ή κάποιο exploit.

Μιλάμε για ένα βαλτό content για λόγους SEO από την Check Point Research, τι περιμένεις;

[Φιλόσοφος_Στ@ρχίδας]

Δεν μιλάνε για ευπάθεια ή exploit, απλά για χρήση σε παράνομες δραστηριότητες. Οι δημιουργοί λένε ότι έχουν δικλείδες ασφαλείας, αλλά υπάρχει ο φόβος ότι δεν είναι αρκετές.

Ισχύει το ότι δεν είναι ευπάθεια ή exploit. Δεν αντιλέγω για το ότι μπορεί να κάνει όλα αυτά που ισχυρίζονται αλλά θα μπορούσαν να μας τα δείξουν κιόλας!

- - - Updated - - -

Μιλάμε για ένα βαλτό content για λόγους SEO από την Check Point Research, τι περιμένεις;

Η αλήθεια είναι ότι βγαίνει αρκετά ψηλά
https://www.google.com/search?client...gpt4+malicious

[johnson]

Τι ακριβώς περίμεναν από ένα ΑΙ; Πως θα χρησιμοποιηθεί μόνο για καλό;