Výzkumný tým Check Point Research analyzoval možnosti nové verze umělé inteligence GPT-4. Z prvotních průzkumů vyplývá, že existují různé scénáře, které by kyberzločinci mohli využít pro zvýšení efektivity při vytváření podvodů, hrozeb a útoků, a to i bez technických znalostí.
Novou verzi lze snadno použít například k vytváření phishingových zpráv, napodobujících e-maily od banky, nebo podvodných zpráv zaměstnancům. Snadno lze vytvořit také malware, který bude krást a odesílat pdf dokumenty, nebo kód pro stažení a spuštění malwaru. Konkrétní příklady najdete níže.
GPT-4 má sice některá omezení a ochranná opatření, která mají blokovat snahu o zneužití a vytváření podvodů a nebezpečných kódů, ale většinu z nich lze poměrně jednoduše obejít. Check Point bude GPT-4 i nadále testovat a v dalších dnech zveřejní podrobnější analýzu.
„Už dříve jsme upozorňovali, že ChatGPT zneužívají hackeři a je potřeba si na tuto novou vlnu hrozeb dávat pozor. Proto jsme také rychle analyzovali nejnovější verzi GPT-4. Nová platforma se sice na mnoha úrovních jednoznačně zlepšila, ale zároveň vidíme mnoho scénářů, které by mohli využít i technicky méně zdatní kyberzločinci. Hackeři by mohli vzhledem k rychlé reakci ChatGPT4 překonávat jednoduše technické problémy při vývoji a vylepšování malwaru. ChatGPT4 může, stejně jako prakticky všechny průlomové technologie, sloužit dobrým i špatným účelům. Umělá inteligence hraje stále významnější roli v kybernetické obraně i útocích a očekáváme, že hackeři se budou GPT-4 snažit intenzivně využít,“ říká Pavel Krejčí, Security Engineer z kyberbezpečnostní společnosti Check Point Software Technologies.
5 scénářů, jak mohou kyberzločinci zneužít GPT-4:
1. C++ malware, který sbírá PDF soubory a odesílá je na FTP
Očividná snaha o vytvoření malwaru je blokována:
Foto: Se souhlasem Check Point
Ale stačí odstranit slovo malware a GPT-4 s vytvořením kódu pomůže:
Foto: Se souhlasem Check Point
Včetně pomoci s kompilací a dalším postupem:
2. Phishing napodobující zprávu od banky
Zřejmá snaha o vytvoření podvodu je blokována:
Foto: Se souhlasem Check Point
Ve verzi ChatGPT 3.5 lze ovšem pravidla obejít:
Ve verzi 4 lze nyní celý podvod ještě více vylepšit:
3. Phishing napodobující zprávy zaměstnancům:
Jak potvrzují další způsoby, zásadní je umět se AI zeptat. Pokud zvládnete kreativně položit dotaz, odpoví vám vždy.
AI nechce páchat zlo, ale pouze pokud se zeptáte moc okatě. Foto: Se souhlasem Check Point
4. PHP Reverse Shell
5. Hacker vytvořil s pomocí ChatGPT jednoduchý java program, který stáhne PuTTY, velmi běžného SSH a telnet klienta, a spustí jej skrytě v systému. Skript lze samozřejmě upravit, aby stáhl a spustil jakýkoli program, včetně běžných malwarů.
Ve verzi 4 je zjevná snaha o vytvoření škodlivého programu blokována, ale jak je vidět níže, stačí pár drobností a nebezpečný program je vytvořen:
Odstranění slovíčka „skrytý“ (v souvislosti s PowerShellem):
A jeho následné vrácení zpět:
S umělou inteligencí je programování čehokoliv hračka. Už jste to vyzkoušeli?
Zdroj: TZ Check Point
