ChatGPT có phải là mối đe dọa an ninh mạng không?

Kể từ khi ra mắt vào tháng 11, ChatGPT đã trở thành trò chơi yêu thích mới trên Internet. Công cụ xử lý ngôn ngữ tự nhiên do AI điều khiển đã nhanh chóng thu hút được hơn 1 triệu người dùng. Người ta đã sử dụng chatbot trên web cho mọi việc, từ tạo bài phát biểu đám cưới, viết lời bài hát hip-hop cho đến soạn thảo các bài luận học thuật và viết mã máy tính. Liệu ChatGPT có phải là mối đe dọa an ninh mạng không?

Các khả năng giống con người của ChatGPT không chỉ gây bão trên internet mà còn khiến một số ngành công nghiệp gặp khó khăn: một trường học ở New York đã cấm ChatGPT vì lo ngại rằng nó có thể được sử dụng để gian lận, các nhà viết quảng cáo đã bị thay thế và các báo cáo tuyên bố rằng Google rất lo lắng trước các khả năng của ChatGPT nên đã ban hành “mã đỏ” để đảm bảo sự tồn tại của hoạt động kinh doanh của công cụ tìm kiếm Google Search.

Ngành an ninh mạng, một cộng đồng từ lâu đã hoài nghi về tác động tiềm tàng của AI, cũng đang chú ý đến những lo ngại rằng ChatGPT có thể dễ dàng bị lạm dụng bởi bất kì tin tặc nào, kể cả những người không có kiến thức về chuyên ngành.

Chỉ vài tuần sau khi ChatGPT ra mắt, công ty an ninh mạng Check Point của Israel đã trình diễn ChatGPT khi được sử dụng song song với hệ thống viết mã Codex của OpenAI, nơi có thể tạo ra một email lừa đảo có khả năng mang nội dung độc hại. Người quản lý nhóm tình báo về mối đe dọa của Check Point, ông Serge Shykevich, nói với TechCrunch (TechCrunch là tên một tờ báo) rằng ông tin rằng các trường hợp sử dụng như thế này minh họa rằng ChatGPT có “tiềm năng thay đổi đáng kể bối cảnh mối đe dọa trên mạng”, đồng thời nói thêm rằng nó đại diện cho “một bước tiến khác trong quá trình phát triển nguy hiểm của các mối đe dọa ngày càng tinh vi và hiệu quả”.

TechCrunch cũng có thể tạo một email lừa đảo có giao diện hợp pháp bằng cách sử dụng chatbot. Khi chúng tôi lần đầu tiên yêu cầu ChatGPT tạo email lừa đảo, chatbot đã từ chối yêu cầu. “​Tôi không được lập trình để tạo hoặc quảng bá nội dung độc hại hoặc có hại,” một lời nhắc phản bác lại. Nhưng khi sửa lại yêu cầu một chút thì chúng tôi dễ dàng vượt qua rào cản tích hợp sẵn của phần mềm.

Nhiều chuyên gia bảo mật tin rằng khả năng ChatGPT viết email lừa đảo nghe có vẻ hợp lý, đó là cách tấn công hàng đầu của mã độc tống tiền. Điều đó sẽ khiến chatbot được tội phạm mạng chấp nhận rộng rãi, đặc biệt là những người không nói tiếng bản ngữ.

Chester Wisniewski, một nhà khoa học nghiên cứu chính tại Sophos, cho biết thật dễ dàng để thấy ChatGPT bị lạm dụng cho “tất cả các loại tấn công kỹ thuật công nghệ” trong đó thủ phạm muốn viết bằng tiếng bản địa để thuyết phục hơn.

“Ở cấp độ cơ bản, tôi đã có thể viết một số nội dung dẫn dụ lừa đảo tuyệt vời với công cụ ChatGPT và tôi cho rằng nó có thể được sử dụng để có các cuộc trò chuyện tương tác thực tế hơn trong các email thỏa hiệp kinh doanh và thậm chí là tấn công Facebook Messenger, WhatsApp hoặc các ứng dụng trò chuyện khác. ” Wisniewski nói với TechCrunch.

Ý tưởng rằng một chatbot có thể viết văn thuyết phục và thực tế là điều không quá xa vời. “Ví dụ: bạn có thể hướng dẫn ChatGPT giả vờ là một bác sĩ phẫu thuật và nó sẽ tạo ra văn bản giống như thật trong vài giây,” Hanah Darley, người đứng đầu nghiên cứu về mối đe dọa tại Darktrace, nói với TechCrunch. “Không khó để tưởng tượng cách mà những kẻ đe dọa có thể sử dụng điều này như một nhân tố đắc lực.”

Check Point gần đây cũng đã gióng lên hồi chuông cảnh báo về khả năng rõ ràng của chatbot trong việc giúp tội phạm mạng viết mã độc. Các nhà nghiên cứu cho biết họ đã chứng kiến ​​ít nhất ba trường hợp tin tặc không có kỹ năng kỹ thuật khoe khoang về cách họ đã tận dụng trí thông minh AI của ChatGPT cho mục đích xấu. Một tin tặc trên một diễn đàn web đen đã giới thiệu mã do ChatGPT viết. Mã này được cho là đã đánh cắp các tệp quan tâm, nén chúng và gửi chúng trên web. Một người dùng khác đã đăng một tập lệnh Python mà họ tuyên bố là tập lệnh đầu tiên họ từng tạo. Check Point lưu ý rằng mặc dù mã có vẻ lành tính, nhưng nó có thể “dễ dàng được sửa đổi để mã hóa hoàn toàn máy của ai đó mà không cần bất kỳ tương tác nào của người dùng”. Check Point cho biết, một người dùng khác trên diễn đàn trước đây đã mất quyền truy cập vào các máy chủ của công ty khi nó bị tấn công và đánh cắp dữ liệu.

Tiến sĩ Suleyman Ozarslan, một nhà nghiên cứu bảo mật và là người đồng sáng lập Picus Security, gần đây đã trình bày với TechCrunch cách ChatGPT được sử dụng để viết nội dung lừa đảo theo chủ đề World Cup và viết mã độc tống tiền nhắm vào macOS. Ozarslan đã yêu cầu chatbot viết mã cho Swift, ngôn ngữ lập trình được sử dụng để phát triển app cho thiết bị Apple, ngôn ngữ này có thể tìm tài liệu Microsoft Office trên MacBook và gửi chúng qua kết nối được mã hóa tới máy chủ web, trước khi mã hóa tài liệu Office trên MacBook .

Ozarslan cho biết: “Tôi không nghi ngờ gì về việc ChatGPT và các công cụ khác như thế này sẽ dân chủ hóa tội phạm mạng”. “Thật tệ khi mã độc ransomware đã có sẵn để mọi người có thể mua trên dark web; và bây giờ hầu như ai cũng có thể tự tạo ra nó.”

Không có gì đáng ngạc nhiên khi tin tức về khả năng viết mã độc của ChatGPT đã khiến toàn ngành phải nhíu mày. Người ta cũng chứng kiến ​​một số chuyên gia chuyển sang phản bác những lo ngại rằng một chatbot AI có thể biến những tin tặc muốn trở thành tội phạm mạng chính thức. Trong một bài đăng trên Mastodon, nhà nghiên cứu bảo mật độc lập The Grugq đã chế giễu tuyên bố của Check Point rằng ChatGPT là “siêu tội phạm mạng, những kẻ dở tệ trong việc viết mã.”

“Họ phải đăng ký tên miền và duy trì cơ sở hạ tầng. Họ cần cập nhật các trang web có nội dung mới và kiểm tra phần mềm hầu như không hoạt động tiếp tục hoạt động trên một nền tảng hơi khác. Họ cần theo dõi tình trạng cơ sở hạ tầng của mình và kiểm tra những gì đang xảy ra trên tin tức để đảm bảo rằng chiến dịch của họ không nằm trong một bài báo về ” top 5 pha lừa đảo đáng xấu hổ nhất’,” The Grugq cho biết. “Trên thực tế, nhận được phần mềm độc hại và sử dụng nó là một phần nhỏ trong công việc tồi tệ để trở thành tội phạm mạng cấp dưới.”

Một số người tin rằng khả năng viết mã độc của ChatGPT là kết quả phát triển cuối cùng của AI.

“Chuyên gia an ninh mạng có thể sử dụng ChatGPT để tạo mã nhằm mô phỏng đối thủ hoặc thậm chí tự động hóa các tác vụ để giúp công việc dễ dàng hơn. Laura Kankaala, trưởng nhóm tình báo mối đe dọa của F-Secure cho biết, nó đã được sử dụng cho nhiều nhiệm vụ ấn tượng, bao gồm cá nhân hóa giáo dục, soạn thảo các bài báo và viết mã máy tính. “Tuy nhiên, cần lưu ý rằng việc hoàn toàn tin tưởng vào đầu ra của văn bản và mã do ChatGPT tạo ra có thể nguy hiểm — mã mà nó tạo ra có thể có các vấn đề hoặc lỗ hổng bảo mật. Văn bản được tạo cũng có thể có lỗi thực tế hoàn toàn,” Kankaala nghi ngờ về độ tin cậy của mã do ChatGPT tạo ra.

Jake Moore của ESET cho biết khi công nghệ phát triển, “nếu ChatGPT học hỏi đủ từ đầu vào của nó, nó có thể sớm phân tích các cuộc tấn công tiềm ẩn một cách nhanh chóng và tạo ra các đề xuất tích cực để tăng cường bảo mật.”

Không chỉ các chuyên gia bảo mật mâu thuẫn về vai trò của ChatGPT trong tương lai của an ninh mạng. Chúng tôi cũng tò mò muốn biết ChatGPT sẽ nói gì khi chúng tôi đặt câu hỏi cho chatbot.

Chatbot trả lời: “Thật khó để dự đoán chính xác cách ChatGPT hoặc bất kỳ công nghệ nào khác sẽ được sử dụng trong tương lai, vì nó phụ thuộc vào cách nó được triển khai và ý định của những người sử dụng nó,”

“Cuối cùng, tác động của ChatGPT đối với an ninh mạng sẽ phụ thuộc vào cách nó được sử dụng. Điều quan trọng là phải nhận thức được những rủi ro tiềm ẩn và thực hiện các bước thích hợp để giảm thiểu chúng.”

Theo: https://techcrunch.com