چت‌جی پی تی و بیشتر: چه معنایی برای آینده امنیت سایبری دارند

از وظایف نسبتا ساده مانند نوشتن ایمیل تا وظایف پیچیده‌تری از جمله نوشتن مقالات یا ترکیب کد، ChatGPT - ابزار پردازش زبان طبیعی مبتنی بر هوش مصنوعی از OpenAI - از زمان راه‌اندازی خود، توجه بزرگی را به خود جلب کرده است.

طبعاً وضعیت خود راهبردیه کاملی نیست - به خوبی مشخصه که اشتباهاتی رخ میده و به اشتباه پیامدهای اشتباهی رو منتقل کنه چون از داده هایی که ازش یاد میگیره اشتباهی تفسیر کنه، ولی خیلی از افراد، و همچنین ابزارهای هوش مصنوعی دیگر، اون رو به عنوان آینده استفاده ما از اینترنت میبینن.

شرایط خدمات OpenAI برای ChatGPT به طور خاص تولید مالورها را مانند رانسوم‌وِر، کی‌لاگر، ویروس‌ها و "نرم‌افزارهای دیگری که هدفشان ایجاد آسیبی است" ممنوع اعلام می‌کند. همچنین تلاش‌هایی برای ایجاد اسپم و نیز استفاده‌های هدفمند از سایبرجرایم را ممنوع می‌نماید.

ولی همانطور که با هر فناوری آنلاین نوآورانه دیگری نیز هستند که در حال آزمایش با آن هستند که چگونه می توانند از ChatGPT برای مقاصد تاریکی استفاده کنند.

بعد از راه‌اندازی، مدت زیادی نگذشت که جنایتکاران سایبری موضوعاتی در انجمن‌های زیرزمینی منتشر کردند درباره‌ی اینکه چگونه می‌توان از چت‌GPT برای تسهیل فعالیت‌های جنایتی سایبری، مانند نوشتن ایمیل‌های تقلبی یا کمک به تدوین نرم‌افزارهای مخرب استفاده کرد.

وجود نگرانی‌ها است که جنایتکاران سعی خواهند کرد از ChatGPT و دیگر ابزارهای هوش مصنوعی مانند Google Bard به عنوان بخشی از تلاش‌های خود استفاده کنند. اگرچه این ابزارهای هوش مصنوعی به ترور عمده در حوزه سایبری منتهی نمی‌شوند، باز هم ممکن است به جنایتکاران سایبری - حتی ناخواسته - کمک کنند تا به طور کارآمدتری به منظورهای خبیثی اقدام کنند.

"حداقل در مدت کوتاهی، فکر نمی‌کنم ChatGPT نوعی حملات کاملاً جدید ایجاد کند. تمرکز بر آن خواهد بود که عملیات روزمره آنها را هزینه‌های کمتری داشته باشد." میگوید سرگئی شیکوویچ، مدیر گروه اطلاعات تهدید در شرکت امنیت سایبری چک پوینت.

همچنین: چیست ChatGPT و چرا اهمیت دارد؟ همه چیزی که باید بدانید

حملات فیشینگ، معمول‌ترین عنصر حملات خرابکارانه و تقلبی هستند. آیا خرابکاران ایمیل‌ها را به منظور توزیع نرم‌افزارهای مخرب، لینک‌های فیشینگ یا قربانی‌را قانع به انتقال پول می‌کنند، از طریق ایمیل اقدام می‌کنند.

اعتماد بر ایمیل به این معناست که گروه های جنایتکار نیاز به یک جریان پایدار از محتواهای روشن و قابل استفاده دارند. در بسیاری از موارد - به ویژه در مورد هجوم های "فیشینگ" - هدف حمله کننده اقناع یک انسان به انجام چیزی مانند انتقال پول است. خوشبختانه، بسیاری از این تلاش های "فیشینگ" در حال حاضر به راحتی به عنوان اسپم شناخته می شوند. اما یک نویسنده خودکار کارآمد می تواند این ایمیل ها را جذاب تر کند.

جرم سایبری یک صنعت جهانی است که جنایتکاران از همه نوع کشورها ایمیل‌های فیشینگ را به هدف‌های بالقوه در سراسر جهان ارسال می‌کنند. این بدان معناست که زبان می‌تواند یک مانع باشد، به ویژه برای کمپین‌های بیشتر پیشرفته اسپیر-فیشینگی که وابسته به قربانیان باور داشتن این هستند که آنها با یک مخاطب قابل اعتماد صحبت می‌کنند - و اگر ایمیل‌ها پر از اشتباهات املایی و دستور زبان غیرطبیعی یا نقطه‌گذاری عجیبی باشد، شخصی احتمالاً باور نمی‌کند که با یک همکار در حال صحبت است.

اما اگر هوش مصنوعی به‌درستی استفاده شود، یک گفتگوباز می‌تواند برای نوشتن متن ایمیل به هر زبانی که مهاجم می‌خواهد، استفاده شود.

بزرگترین مانع برای جنایتکاران سایبری روسی زبان (انگلیسی) است

Shykevich می‌گوید: "آنها اکنون فارغ‌التحصیلان تحصیلات انگلیسی را در دانشگاه‌های روسی استخدام می‌کنند تا برای ایمیل‌های فیشینگ متن بنویسند و در مراکز تماس قرار بگیرند - و باید برای این کار پول بپردازند."

او ادامه می دهد: "چیزی شبیه به چت GPT می تواند به آنها در پس‌زمینه‌ی ایجاد انواع پیام‌های فیشینگ کمک کند. این می تواند واقعا زندگی آنها را بهتر کند. فکر می کنم این مسیری است که آنها به دنبال آن می گردند."

به طور نظری، تحت محافظت قرارگیری هایی وجود دارند که برای جلوگیری از سوء استفاده طراحی شده‌اند. به عنوان مثال، ChatGPT از کاربران می‌خواهد تا یک آدرس ایمیل ثبت نام کنند و همچنین برای تأیید ثبت نام، وارد کردن شماره تلفن نیز الزامی است.

و در حالی که ChatGPT از نوشتن ایمیل های فیشینگ امتناع می کند، امکان پرسیدن از آن برای تهیه قالب های ایمیل برای پیام های دیگر وجود دارد که معمولاً توسط حمله کنندگان سایبری بهره برده می شود. این تلاش می تواند شامل پیام هایی باشد مانند بیان اینکه یک پاداش سالانه در دسترس است، بروزرسانی نرم افزار مهم باید دانلود و نصب شود یا یک سند پیوست باید به عنوان یک مسئله فوری بررسی شود.

"ارسال یک ایمیل برای متقاعد کردن شخصی برای کلیک بر روی لینکی که مانند دعوتنامه کنفرانس عمل می کند - این امر بسیار خوب است و اگر شما یک زبان مادری انگلیسی نباشید ، این بسیار خوب به نظر می رسد"، می گوید آدام مایرز، معاون رئیس جمهور هوشمندی در Crowdstrike، یک تأمین کننده امنیت سایبری و جستجوی تهدیدات.

"می توانید آن را به شکلی زیبا و با قواعد گرامری صحیح ایجاد کنید که شاید بتوانستید این کار را انجام دهید اگر زبان مادری انگلیسی نبودید."

اما سوء استفاده از این ابزارها مختص فقط به ایمیل نیست؛ جنایتکاران می‌توانند از آنها برای کمک به نوشتن اسکریپت در هر پلتفرم آنلاین مبتنی بر متن استفاده کنند. برای حملات کلاهبرداری کنندگان، یا حتی گروه‌های پیشرفته تهدیدهای سایبری که تلاش می‌کنند به حملات جاسوسی بپردازند، این می‌تواند یک ابزار مفید باشد - به خصوص برای ایجاد پروفایل های اجتماعی جعلی جهت جذب افراد.

كلي شورتريدج، یک متخصص امنیت سایبری و فناور محصول اصلی سابق در Fastly، پرواز را می گوید: "اگر می خواهید برای لینکدین، گفتگوهای تجاری غیرملموس بسازید تا به نظر برسد که شما یک کسب و کار واقعی هستید که سعی در برقراری ارتباط دارد، ChatGPT برای این کار عالی است."

گروه‌های هک مختلف تلاش می‌کنند از لینکداین و سایر پلتفرم‌های رسانه‌های اجتماعی برای انجام حملات سایبری استفاده کنند. اما ایجاد پروفایل‌های آنلاین تقلبی اما با ظاهر قانونی و پر کردن آنها با پست‌ها و پیام‌ها، یک فرآیند زمان‌بر است.

شورتریج فکر می‌کند که حمله‌کنندگان می‌توانند از ابزارهای هوش مصنوعی مانند ChatGPT برای نوشتن محتوای با قانع‌کنندگی استفاده کنند و در عین حال از مزیت کمتر نیروی کار بهره‌برده شده اند.

"بیشتر این نوع کمپین‌های مهندسی اجتماعی نیاز به تلاش زیادی دارند زیرا شما باید آن پروفایل‌ها را تنظیم کنید"، او میگوید و بر این ادعا است که ابزارهای هوش مصنوعی می‌توانند به طور قابل توجهی مانع در پیش روی ورودی شما شوند.

"مطمئنم که ChatGPT می‌تواند پست‌های رهبری فکری بسیار قانع‌کننده‌ای را بنویسد"، او می‌گوید.

طبیعت نوآوری فناورانه یعنی هرگاه چیزی جدید بروز شود ، همیشه افرادی وجود خواهند داشت که سعی می کنند از آن برای اهداف خبیثانه استفاده کنند. و حتی با استفاده از نوآورانه ترین روش ها برای جلوگیری از سواستفاده ، طبیعت مکر و دروغگویی جنایتکاران سایبری به این معنی است که احتمالاً راه هایی برای طوفان پیمایی از تحصیلات وجود خواهند داشت.

هیچ راهی برای کاملاً از بین بردن سوء استفاده وجود ندارد. این هرگز با هیچ سیستمی اتفاق نیفتاده است. "، می گوید شیکویچ که امیدوار است برجسته کردن مسائل امنیت سایبری ممکن است به معنی بحث بیشتری در مورد این باشد که چگونه از استفاده اشتباه AI چت بات ها جلوگیری شود."

"این یک فناوری بزرگ است - اما همانطور که همیشه در مورد فناوری جدید، خطراتی وجود دارد و مهم است آنها را بررسی کرده و آگاه شویم. و من فکر می کنم هرچه بیشتر بحث و گفتگو داشته باشیم، احتمالا OpenAI و شرکت های مشابهتر بهتر می کوشند تا سوءاستفاده ها را کاهش دهند"، او پیشنهاد می کند.

همچنین در برنامه‌های گپ به نیروهای امنیت سایبر مزیت‌هایی نیز وجود دارد، زیرا این برنامه‌ها به خصوص در رابطه با کد و فهم آن توانایی بسیار بالایی دارند، به طوری که امکان استفاده از آنها در کمک به دفاع کنندگان در فهم و تجزیه و تحلیل نرم‌افزارهای مخرب نیز وجود دارد. از طرفی آنها قادر به نوشتن کد هم هستند، بنابراین ممکن است به کمک توسعه‌دهندگان در پروژه‌هایشان کمک کنند و برای ایجاد کد بهتر و ایمن‌تر به صورت سریعتر، که این امر برای همه به نفع است.

همانطور که تجزیه و تحلیلگر اصلی فورستر، جف پالارد، به تازگی نوشته است، ChatGPT قادر است زمان تولید گزارش‌های حادثه امنیتی را به طرز چشمگیری کاهش دهد.

"اجرای این کارها به سرعت بیشتر به معنای بیشتر کردن زمان صرف انجام کارهای دیگر است - آزمون‌ها، ارزیابی‌ها، تحقیقات و پاسخ‌گویی - همه اینها به تیم‌های امنیتی کمک می‌کنند تا مقیاس بگیرند"، او توضیح می‌دهد و اضافه می‌کند که یک ربات می‌تواند براساس داده‌های موجود، پیشنهادات پاسخ بعدی را ارائه کند.

"اگر هماهنگی امنیت، خودکارسازی و واکنش به درستی برای شتاب بخشیدن به بازیابی نمونه‌ها راه‌اندازی شود، این می‌تواند تشخیص و واکنش را شتاب داده و به تحلیلگران مرکز عملیات امنیت بهترین تصمیمات را کمک کند"، او می‌گوید.

بنابراین، چت‌بات‌ها می‌توانند زندگی را برای برخی در حوزه امنیت سایبری سخت‌تر کنند، اما همچنین ممکن است نقطه‌ی روشنی هم داشته باشد.

ZDNET از طراحی باز شده به منظور افزودن توضیح پرسید، اما پاسخی دریافت نکرد. با این حال، ZDNET از ChatGPT پرسید که چه قوانینی برای جلوگیری از سوء استفاده از آن در فیشینگ وجود دارد و ما متن زیر را دریافت کردیم.

"مهم است به یاد داشته باشید که در حالی که مدل‌های زبان اصطلاح هوش مصنوعی مانند ChatGPT می‌توانند متنی تولید کنند که به ایمیل‌های فیشینگ شباهت دارد، اما آنها قادر به انجام اقدامات خبیثانه به تنهایی نیستند و برای بروز آسیب به شخص نیاز به نیت و اقدامات کاربر دارند. به همین دلیل، برای کاربران مهم است که در استفاده از فناوری هوش مصنوعی، احتیاط و داوری خوب را رعایت کنند و در مقابل فیشینگ و سایر فعالیت‌های خبیث، هوشیار باشند."