אנשים כבר מנסים לגרום ל - ChatGPT לכתוב תוכנות זדוניות

תמונת-בני-אדם-בשטח-פתוח.jpg

בזמן הקצר שבו הייתה זמינה, המערכת של צ'אטגפט, הבוט המבוזר המתקדם יצרה הרבה תהליך. עכשיו נראה שהוא הושכר על-ידי מישהו כדי לנסות ליצור קוד זדוני.

ChatGPT הינו כלי עיבוד שפה טבעית מונעת מכונה המתקשר עם המשתמשים בצורה דומה לאנושית. בנוסף לדברים אחרים, ניתן להשתמש בו לעזור במשימות כגון כתיבת דוא"לים, מסמכים וקוד.

גם: מה הוא ChatGPT ומדוע זה חשוב? מה שאתה צריך לדעת

כלי הצ'אטבוט שהושק על ידי מעבדת מחקר הבינה המלאכותית של OpenAI בנובמבר וגרם להתעניינות רבה ודיון במהלך כיצד הבינה המלאכותית מתפתחת וכיצד ניתן להשתמש בה בעתיד.

אבל כמו כל כלי אחר, בידיים הלא נכונות ניתן להשתמש בו למטרות רעות; ומחקרי בטחון מידע בחברת Check Point מציינים שמשתמשי קהילות האקרים התחתונות כבר מנסים לנסות איך הם יכולים להשתמש ב-ChatGPT כדי לסייע בשיגור התקפות סייבר ולתמוך בפעולות רעות.

"סוכני איום שטכניות נמוכות מאוד - וגם אפילו ללא ידע טכני - עשויים להיות מסוגלים ליצור כלי זדוני. זה יכול גם להפוך את הפעולות היומיומיות של פושעי סייבר מתקדמים רב יותר יעילות וקלות יותר - כמו ליצור חלקים שונים בשרשרת ההדבקה", אמר סרגיי שייקביץ', מנהל קבוצת אינטליגנצת איום ב-Check Point ל-ZDNET.

תנאי השירות של OpenAI מכילים איסור ספציפי על יצירת מלוואר, הוא מגדיר את זה כ "תוכן המנסה ליצור תוכנות כדי להשיג ריצון לכת, רשלנות מקשיבה, וירוסים או תוכנות אחרות המיועדות לגרום לרמאות עבור המשתמש". עוד אסור על מטרות של שליחת דואר זבל, כמעט כמו מטרות של פעילות פשע סייבר.

אך ניתוח של פעילות במספר מהפורומים לפעילות תחתונה ביותר מראה כי פורום ChatGPT כבר משמש פושעי סייבר לפתח כלים זדוניים - ובמקרים חלקיים כבר מאפשר לפושעי סייבר מתחתנים שלא מכילים מיומנויות פיתוח או קידוד ליצור תוכנות זדוניות.

כמו כן: העתיד המפחיד של האינטרנט: כיצד טכנולוגיות העתיד יצורפו איומי אבטחת מידע גדולים יותר

באחד האשכולות בפורום שפורסם כלקוחמעט לסיום דצמבר, המפרסם תאר איך הוא משתמש ב-ChatGPT ליצירת שבלונות של תופעות וטכניקות זדוניות שמתוארות במאמרי מחקר וכתבות על וירוסים נפוצים.

בעזרת כך, הם יכולים ליצור תוכנת זדונים זוהרת מבוססת פייתון, המחפשת קבצים נפוצים כמו מסמכי Microsoft Office, PDF ותמונות, מעתיקה אותם ומעלה אותם לשרת FTP.

המשתמש הזה הדגים גם כיצד השתמש ב-ChatGPT כדי ליצור תוכניות זדוניות באמצעות Java, שבעזרת PowerShell יכול להיות בשימוש להורדה והרצה סמויות של תוכניות זדוניות נוספות על מערכות נדבקות.

חוקרים מציינים שהמשתמש בפורום שעלה עם אלה האשכולות נראה "מתמקד בטכנולוגיה" ושיתף את הפוסטים כדי להראות לפורי קיבוץ של פושעי סייבר פחות מקצועיים איך להשתמש בכלי AI למטרות זדוניות, כולל דוגמאות חיות לכך כיצד ניתן לעשות זאת.

משתמש אחד פרסם קוד פייתון, וטען כי זוהי הפעם הראשונה שלו בה הוא עושה זאת. לאחר דיון עם חבר פורום אחר, הוא אמר כי ChatGPT עזר לו ליצור את זה.

ניתוח הסקריפט מרמז על כך שהוא מיועד להצפנת קבצים ופענוחם, משהו שבעזרת מעט עבודה יכול להפוך לפורמט רנסום, ולכן יכול להביא לפני הסיכוי לפעילות פשע סייבר נמוכה רמה ולהפצת קמפייני האפיון הבאים של פשע סייבר.

כל הקודים המצויים על מנת כמובן להיות בשימוש ללא נזקים. אך סקריפט זה יכול בקלות להיות מותאם כך שיצפין את מחשבו של משתמש כלשהו לחלוטין, בלי כל שילוב משתמש. על-פי דברי Check Point, לדוגמה, מסוגל להפוך את הקוד לרנסום וור אם תמונת הסקריפט והתחביר יושנו.

"זה ידרוש כמה שיפורים בקוד ובתחביר, אבל מבחינה מושגית כשהוא פעיל, הכלי הזה יכול לבצע פעולות דומות לפעולות הרנסום", אמר שיקביץ'.

גם: אבטחת מידע: אלה הדברים החדשים לגורמים דאגה בשנת 2023

אבל זה לא רק פיתוח תוכנות זדוניות שפותחות פושעי סייבר מתנסים בוורד ChatGPT; בערב ראש השנה, חבר בפורום תחתי פרסם אשכול מדגים כיצד השתמשו בכלי זה כדי ליצור תסריטים שיכולים להפעיל קהילת חשאיות ממוכרות וקניות ברשת העמוקה לגנוב פרטי חשבונות, מידע על כרטיסי אשראי, תוכנות זדוניות ועוד.

הפושע הסייברי הצג אפילו חתיכת קוד שנוצר באמצעות API של צד שלישי כדי לקבל מחירים מעודכנים עבור מטבעות קריפטוגרפיים כמו Monero, Bitcoin ו-Ethereum כחלק ממערכת תשלום עבור שוק מסווג באינטרנט העמוק.

קשה לזהות אם פעילות סייבר זדונית שנוצרה בעזרת ChatGPT פועלת כעת בטבע, מכיוון שכפי שמסביר Sykevich "מנקודת מבט טכנית קשה מאוד לדעת האם נכתב מלוואר מסוים באמצעות ChatGPT או לא".

אבל כפי שהתעניינות ב-ChatGPT וכלי AI אחרים גדלה, הם ימשיכו למשוך את תשומת הלב של פושעי סייבר והונאים שמחפשים לנצל את הטכנולוגיה כדי לסייע בביצוע מסעי תפוצה זדוניים בעלות נמוכה ובמינימום המאמץ הנדרש. ZDNET פנתה ל-OpenAI לתגובה, אך עדיין לא קיבלה תשובה עד זמן הפרסום.

כתבות קשורות

צפייה בעוד >>