S obzirom da je generativna umjetna inteligencija (AI) postala popularna ovih dana, možda i nije iznenađujuće da su tu tehnologiju prenamijenili hakeri u svoju korist, omogućavajući puteve za ubrzani kibernetički kriminal.
Prema nalazima SlashNext-a, nova generativna AI alatka za kibernetički kriminal pod nazivom WormGPT je reklamirana na podzemnim forumima kao način za protivnike da pokrenu sofistikovane napade phishing-a i kompromitovanja poslovnog email-a (BEC).
“Ovaj alat se predstavlja kao blackhat alternativa GPT modelima, dizajniran posebno za maliciozne aktivnosti” rekao je istraživač sigurnosti Daniel Kelley. “Kibernetički kriminalci mogu koristiti takvu tehnologiju da automatizuju kreiranje vrlo uvjerljivih lažnih email-ova, personalizovanih primaocu, čime se povećavaju šanse za uspjeh napada.”
Autor softvera ga je opisao kao “najvećeg neprijatelja dobro poznatog ChatGPT-a” koji vam “dopušta da radite sve vrste ilegalnih stvari”.
U rukama hakera, alati kao što je WormGPT mogli bi biti moćno oružje, posebno pošto OpenAI ChatGPT i Google Bard sve više poduzimaju korake u borbi protiv zloupotrebe modela velikih jezika (LLM) za izradu uvjerljivih phishing email-ova i generisanje malicioznog koda.
„Bardovi ograničavači zloupotrebe u domenu kibernetičke bezbjednosti znatno su niži u poređenju sa onima u ChatGPT-u“ navodi Check Point u izvještaju ove sedmice. “Slijedom toga, mnogo je lakše generisati maliciozni sadržaj koristeći Bardove mogućnosti.”
Ranije, izraelska kompanija za kibernetičku sigurnost otkrila je kako kibernetički kriminalci rade oko ograničenja ChatGPT-a koristeći prednosti njegovog API-a, a da ne spominjemo trgovinu ukradenim premium računima i prodaju softvera brutalne sile za hakovanje na ChatGPT račune koristeći ogromne liste email adresa i lozinki.
Činjenica da WormGPT radi bez ikakvih etičkih granica naglašava pretnju koju predstavlja generativna umjetna inteligencija, čak i dopuštajući kibernetičkim kriminalcima početnicima da pokrenu napade brzo i u velikim razmjerima, a da nemaju tehničkih sredstava za to.
Da stvar bude još gora, hakeir promovišu “jailbreak” za ChatGPT, projektuju specijalizovane upite i unose koji su dizajnirani da manipulišu alatom u generisanje izlaza koji bi mogli uključivati otkrivanje osjetljivih informacija, proizvodnju neprikladnog sadržaja i izvršavanje štetnog koda.
“Generativni AI može kreirati email-ove s besprijekornom gramatikom, čineći ih legitimnim i smanjujući vjerovatnoću da budu označeni kao sumnjivi” rekao je Kelley.
“Upotreba generativne AI demokratizuje izvođenje sofistikovanih BEC napada. Čak i napadači sa ograničenim vještinama mogu koristiti ovu tehnologiju, čineći je pristupačnim alatom za širi spektar kibernetičkih kriminalaca.”
Otkrivanje dolazi kada su istraživači iz Mithril Security “hirurški” modifikovali postojeći AI model otvorenog koda poznat kao GPT-J-6B kako bi ga natjerali da širi dezinformacije i otpremili ga u javni repozitorijum kao što je Hugging Face koje bi se zatim moglo integrisati u druge aplikacije, što je dovelo na ono što se zove LLM trovanje lanca snabdjevanja.
Uspjeh tehnike, nazvane PoisonGPT, temelji se na preduslovu da se lobotomizovani model učita koristeći ime koje oponaša poznatu kompaniju, u ovom slučaju, tipografsku verziju EleutherAI, kompanije koja stoji iza GPT-J.
Izvor: The Hacker News
