Проблемы безопасности ChatGPT: учетные данные в даркнете и многое другое

Проблемы безопасности ChatGPT: учетные данные в даркнете и многое другое

8 августа 2023 г.
Риски безопасности, связанные с ChatGPT, также включают в себя написание вредоносного кода и распространение дезинформации. Читайте о новом инструменте, рекламируемом в даркнете, под названием WormGPT.

По мере того, как технология искусственного интеллекта, такая как ChatGPT, продолжает совершенствоваться, растет и ее потенциал для неправомерного использования киберпреступниками. По данным BlackBerry Global Research, 74% опрошенных лиц, принимающих решения в области ИТ, признали потенциальную угрозу кибербезопасности ChatGPT. 51% респондентов считают, что в 2023 году ChatGPT приписывают успешную кибератаку.

Вот краткое изложение некоторых наиболее значительных проблем и рисков кибербезопасности, связанных с ChatGPT.

Перейти к:

    Учетные данные ChatGPT и запросы на джейлбрейк в даркнете Использование ChatGPT в качестве оружия ChatGPT может распространять дезинформацию или фейковые новости ChatGPT может писать вредоносный код Встречайте WormGPT, ИИ, разработанный для киберпреступников Как вы можете смягчить киберугрозы, созданные ИИ?

Учетные данные ChatGPT и запросы на джейлбрейк в даркнете

ChatGPT украл учетные данные в даркнете

В июне 2023 года компания по кибербезопасности Group-IB опубликовала исследование о торговле украденными учетными данными ChatGPT в даркнете. По данным компании, в период с июня 2022 г. по март 2023 г. было украдено более 100 000 учетных записей ChatGPT. Более 40 000 этих учетных записей были украдены из Азиатско-Тихоокеанского региона, за которым следуют Ближний Восток и Африка (24 925), Европа (16 951). , Латинская Америка (12 314) и Северная Америка (4 737).

Есть две основные причины, по которым киберпреступники хотят получить доступ к учетным записям ChatGPT. Очевидный способ получить платные аккаунты, которые не имеют ограничений по сравнению с бесплатными версиями. Однако главная угроза — слежка за аккаунтом — ChatGPT хранит подробную историю всех подсказок и ответов, что потенциально может привести к утечке конфиденциальных данных мошенникам.

Дмитрий Шестаков, руководитель отдела анализа угроз Group-IB, написал: «Многие предприятия интегрируют ChatGPT в свой рабочий процесс. Сотрудники ведут секретную переписку или используют бота для оптимизации проприетарного кода. Учитывая, что стандартная конфигурация ChatGPT сохраняет все разговоры, это может непреднамеренно предоставить злоумышленникам ценную информацию, если они получат учетные данные».

Подсказки о побеге из тюрьмы в даркнете

SlashNext, компания, занимающаяся безопасностью облачной электронной почты, сообщила о росте торговли сообщениями о побеге из тюрьмы на подпольных форумах киберпреступников. Эти подсказки предназначены для обхода ограждений ChatGPT и позволяют злоумышленнику создавать вредоносный контент с помощью ИИ.

Использование ChatGPT в качестве оружия

Основная проблема, связанная с использованием ChatGPT, заключается в его потенциальном использовании киберпреступниками в качестве оружия. Используя возможности этого чат-бота с искусственным интеллектом, киберпреступники могут легко проводить изощренные фишинговые атаки, спам и другой мошеннический контент. ChatGPT может убедительно выдавать себя за отдельных лиц или доверенных лиц/организаций, что увеличивает вероятность того, что ничего не подозревающие пользователи будут обманом выданы конфиденциальной информации или станут жертвами мошенничества (рис. A).

Рисунок А

Один результат запроса на создание фишингового письма. Изображение: написано с помощью ChatGPT

Как видно из этого примера, ChatGPT может повысить эффективность атак социальной инженерии, предлагая более реалистичное и персонализированное взаимодействие с потенциальными жертвами. Будь то электронная почта, обмен мгновенными сообщениями или платформы социальных сетей, киберпреступники могут использовать ChatGPT для сбора информации, укрепления доверия и, в конечном итоге, обманом заставляя людей раскрывать конфиденциальные данные или выполнять вредоносные действия.

ChatGPT может распространять дезинформацию или фейковые новости

Распространение дезинформации и фейковых новостей является растущей проблемой в Интернете. С помощью ChatGPT киберпреступники могут быстро создавать и распространять большие объемы вводящего в заблуждение или вредоносного контента, который может быть использован для оказания влияния. Это может привести к усилению социальных волнений, политической нестабильности и недоверию населения к надежным источникам информации.

ChatGPT может писать вредоносный код

ChatGPT имеет несколько протоколов, которые предотвращают генерацию подсказок, связанных с написанием вредоносных программ или участием в каких-либо вредоносных, незаконных или неэтичных действиях. Однако даже злоумышленники с низким уровнем навыков программирования все же могут обойти протоколы и заставить его писать вредоносный код. Несколько исследователей безопасности писали об этой проблеме.

Компания HYAS, занимающаяся кибербезопасностью, опубликовала исследование о том, как они написали экспериментальную вредоносную программу под названием Black Mamba с помощью ChatGPT. Вредоносная программа представляет собой полиморфную вредоносную программу с функциями кейлоггера.

Марк Стокли написал на веб-сайте MalwareBytes Labs, что он заставил ChatGPT писать программы-вымогатели, но пришел к выводу, что ИИ с этим справляется очень плохо. Одной из причин этого является ограничение ChatGPT на количество слов, составляющее около 3000 слов. Стокли заявил, что «ChatGPT, по сути, смешивает и перефразирует контент, который он нашел в Интернете», поэтому фрагменты кода, которые он предоставляет, не являются чем-то новым.

Исследователь Аарон Малгрю из компании Forcepoint, занимающейся безопасностью данных, рассказал, как можно обойти все средства защиты ChatGPT, заставив его писать код фрагментами. Этот метод создал продвинутое вредоносное ПО, которое осталось незамеченным 69 антивирусными ядрами от VirusTotal, платформы, предлагающей обнаружение вредоносных программ на различных антивирусных ядрах.

Встречайте WormGPT, ИИ, разработанный для киберпреступников

Дэниел Келли из SlashNext представил рекламируемый в даркнете новый инструмент искусственного интеллекта под названием WormGPT. Инструмент рекламируется как «Лучшая альтернатива GPT для Blackhats» и предоставляет ответы на запросы без каких-либо этических ограничений, в отличие от ChatGPT, который затрудняет создание вредоносного контента. На рисунке B показано приглашение от SlashNext.

Рисунок Б

WormGPT предоставляет нелегальный контент без каких-либо ограничений. Изображение: SlashNext

Разработчик WormGPT не предоставляет информацию о том, как был создан ИИ и какими данными он питался в процессе обучения.

WormGPT предлагает несколько подписок: ежемесячная подписка стоит 100 евро, первые 10 запросов — 60 евро. Годовая подписка стоит 550 евро. Частная установка с частным выделенным API стоит 5000 евро.

Как вы можете смягчить киберугрозы, созданные ИИ?

Не существует конкретных методов смягчения последствий киберугроз, создаваемых искусственным интеллектом. Применяются обычные рекомендации по безопасности, в частности, в отношении социальной инженерии. Сотрудники должны быть обучены обнаруживать фишинговые электронные письма или любые попытки социальной инженерии — будь то электронная почта, мгновенные сообщения или социальные сети. Кроме того, помните, что отправка конфиденциальных данных в ChatGPT не является хорошей практикой безопасности, поскольку это может привести к утечке.

Раскрытие информации: я работаю в Trend Micro, но мнения, выраженные в этой статье, принадлежат мне.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE