Μήπως το ChatGPT αρχίσει να γράφει επικίνδυνο κακόβουλο λογισμικό;

Το ChatGPT δεν έγραψε αυτό το άρθρο – το έγραψα εγώ, λέει ο Cameron Camp από την ομάδα της εταιρείας κυβερνοασφάλειας ESET. «Ούτε του ζήτησα να απαντήσει στην ερώτηση του τίτλου – θα το κάνω εγώ. Αλλά υποθέτω ότι αυτό ακριβώς θα μπορούσε να γράψει και το ChatGPT. Ευτυχώς, έχω αφήσει εσκεμένα κάποια γραμματικά λάθη για να αποδείξω ότι δεν είμαι ρομπότ. Αλλά αυτό ακριβώς θα μπορούσε να κάνει και το ChatGPT προκειμένου να δείξει ότι το άρθρο το έγραψε άνθρωπος».

Αυτή η σύγχρονη τεχνολογία ρομπότ, το ChatGPT, είναι μια εντυπωσιακή εφαρμογή τεχνητής νοημοσύνης που επιτρέπει το διάλογο με το χρήστη καθώς μπορεί να δώσει αυτόματα απαντήσεις για νομικά θέματα, ερευνητικά έγγραφα, ιατρικά θέματα, και πλήθος άλλων θεμάτων. Όμως, πέρα από αυτά, μήπως τελικά θα βοηθήσει και προς την κατεύθυνση των εκατοντάδων χιλιάδων δειγμάτων κακόβουλου λογισμικού που βλέπουμε και επεξεργαζόμαστε καθημερινά; ή θα είναι απλώς μια απομίμηση «ανθρώπινου λόγου» που θα μπορεί κανείς εύκολα να την εντοπίσει ως fake;

Σε μια μονομαχία μηχανής εναντίον μηχανής, το ChatGPT φαίνεται υπερβολικά «καλό» για να μη θεωρηθεί σοβαρός υποψήφιος που θα μπορεί να μπλοκάρει τα αντίπαλα μηχανήματα. Καθώς τόσο οι κακόβουλοι δράστες όσο και εκείνοι που τους πολεμούν χρησιμοποιούν τα πιο σύγχρονα μοντέλα μηχανικής μάθησης (ML), ήταν ζήτημα χρόνου ότι κάτι τέτοιο θα συνέβαινε.

Όμως, για να φτιάξεις έναν καλό μηχανισμό άμυνας κατά του κακόβουλου λογισμικού, δεν αρκεί μόνο η χρήση κάποιου ρομπότ. Πάντα χρειάζεται η ανθρώπινη παρέμβαση: το διαπιστώσαμε αυτό πριν από πολλά χρόνια, προς απογοήτευση των προμηθευτών λύσεων που χρησιμοποιούν μόνο μηχανική μάθηση (ML-only) – και επιμένουν να θολώνουν τα νερά αναφέροντας τα προϊόντα τους ως προϊόντα που κάνουν χρήση τεχνητής νοημοσύνης (artificial intelligence – AI).

Και ενώ τα μοντέλα ML χρησιμοποιούνται τόσο για μια πρόχειρη ταξινόμηση όσο και για μια πιο σύνθετη ανάλυση, απέχουν πολύ από το να χαρακτηριστούν ως «το μαγικό κουμπί που θα εξοντώνει κακόβουλα λογισμικά». Το κακόβουλο λογισμικό δεν είναι και τόσο απλό.

«Παρόλα αυτά, για να είμαι σίγουρος, απευθύνθηκα σε μερικούς από τους ειδικούς μηχανικής μάθησης της ESET και τους έθεσα κάποια βασικά ερωτήματα» λέει ο Cameron Camp.

Ας δούμε τι τους ρώτησε αλλά και τι απάντησαν.

Ε. Πόσο καλό είναι αυτή τη στιγμή το ChatGTP;

A. Το ChatGPT είναι πολύ εντυπωσιακό, αν αναλογιστεί κανείς ότι πρόκειται για ένα Μεγάλο Γλωσσικό Μοντέλο και οι δυνατότητές του εκπλήσσουν ακόμη και τους δημιουργούς τέτοιων μοντέλων. Ωστόσο, επί του παρόντος είναι πολύ ρηχό, κάνει λάθη, δημιουργεί απαντήσεις που πλησιάζουν περισσότερο τις παραισθήσεις (δηλαδή κατασκευασμένες απαντήσεις) και δεν είναι πραγματικά αξιόπιστο για οτιδήποτε σοβαρό. Φαίνεται όμως να κερδίζει γρήγορα έδαφος, αν κρίνουμε από το πλήθος των ειδικών της τεχνολογίας που αρχίζουν να ασχολούνται διστακτικά.

Ε. Πόσο καλό θα είναι το κακόβουλο λογισμικό που θα δημιουργηθεί από το ChatGPT, εάν βέβαια είναι κάτι τέτοιο δυνατό;

A. Στην πραγματικότητα απέχουμε πολύ από το στάδιο που θα υπάρξει «κακόβουλο λογισμικό που παράγεται πλήρως από τεχνητή νοημοσύνη», αν και το ChatGPT είναι αρκετά καλό στην υπόδειξη κώδικα, στη δημιουργία παραδειγμάτων και αποσπασμάτων κώδικα, στην αποσφαλμάτωση και βελτιστοποίηση κώδικα, ακόμη και στην αυτοματοποίηση της τεκμηρίωσης.

Ε. Τι γίνεται με τις πιο προηγμένες λειτουργίες;

A. Δεν ξέρουμε πόσο καλό είναι στις τεχνικές που εμποδίζουν ανιχνεύσεις (obfuscation). Ορισμένα από τα παραδείγματα αφορούν γλώσσες προγραμματισμού scripting όπως η Python. Αλλά είδαμε το ChatGPT να “αντιστρέφει” το νόημα του αποσυναρμολογημένου κώδικα που συνδέεται με το IDA Pro – και αυτό έχει πολύενδιαφέρον. Συνολικά, είναι ένα εύχρηστο εργαλείο που μπορεί να βοηθήσει έναν προγραμματιστή και ίσως αυτό να είναι ένα πρώτο βήμα προς τη δημιουργία πιο ολοκληρωμένου κακόβουλου λογισμικού, αλλά απέχουμε ακόμα από αυτό.

Ε. Τι μπορεί να κάνει αυτή τη στιγμή;

A. Προς το παρόν, βλέπουμε τρεις πιθανούς τομείς υιοθέτησης και χρήσης κακόβουλων προγραμμάτων:

1. Οι απάτες phishing θα γίνουν ακόμα πιο πειστικές. Δεν θα είστε σε θέση να εντοπίσετε την απάτη γρήγορα λόγω γλωσσικών λαθών καθώς η χρήση της γλώσσας θα είναι καλύτερη. Δεδομένου ότι ένα μεγάλο μέρος των επιθέσεων ξεκινά με το να κάνει κάποιος κλικ σε έναν σύνδεσμο, περιμένουμε ότι οι σχετικές επιπτώσεις θα αυξηθούν. Από τη διερεύνηση περισσότερων πηγών δεδομένων και την άψογη συνένωσή τους μέχρι τη δημιουργία ειδικά διαμορφωμένων μηνυμάτων ηλεκτρονικού ταχυδρομείου που θα είναι πολύ δύσκολο να εντοπιστούν με βάση το περιεχόμενό τους – τα ποσοστά επιτυχίας φαίνεται ότι θα είναι καλύτερα.
2. Οι διαπραγματεύσεις για λύτρα θα αυτοματοποιηθούν. Οι χειριστές ransomware δεν είναι και πολύ γλυκομίλητοι, αλλά η «ζεστασιά» στην επικοινωνία που μπορεί να προσθέσει το ChatGPT θα μπορούσε να μειώσει το… φόρτο εργασίας των δραστών κατά τη διάρκεια των διαπραγματεύσεων. Αυτό θα σημαίνει επίσης λιγότερα λάθη που θα μπορούσαν να επιτρέψουν στους δράστες να εντοπίσουν τις πραγματικές ταυτότητες και τις τοποθεσίες των χειριστών.
3. Οι τηλεφωνικές απάτες θα γίνουν ακόμα πιο πειστικές. Με τη βοήθεια του ChatGPT οι κακόβουλοι απατεώνες θα ακούγονται σαν ντόπιοι και θα είναι πιο πειστικοί στο ότι νοιάζονται για τα συμφέροντά σας. Αυτό είναι ένα από τα πρώτα βήματα για να πέσετε θύματα σε μια απάτη εμπιστοσύνης: να ακούγονται πιο σίγουροι σαν να είναι ένας από τους δικούς σας ανθρώπους.

Μολονότι όλα αυτά ακούγονται σαν να ανήκουν στο μακρινό μέλλον, μη στοιχηματίζετε σε αυτό. Δεν θα συμβούν ταυτόχρονα, ούτε από τη μια μέρα στην άλλη, αλλά οι εγκληματίες θα γίνουν πολύ καλύτεροι. Μένει να δούμε το κατά πόσο οι αμυντικοί μηχανισμοί θα σταθούν στο ύψος των περιστάσεων.