GPT-4 не может перестать помогать хакерам создавать киберпреступные инструменты

У нового ChatGPT те же старые проблемы: он не может остановить хакеров, создающих вредоносные инструменты.

На этой неделе OpenAI с большой помпой выпустила последнюю версию своего программного обеспечения для машинного обучения GPT-4. Одна из особенностей, которую компания выделила в новой версии, заключалась в том, что в ней должны были быть правила, защищающие ее от использования киберпреступниками.

Однако исследователи говорят, что всего за несколько дней они обманули его, заставив создавать вредоносное ПО и помогать им создавать фишинговые электронные письма, точно так же, как они делали это с предыдущей итерацией программного обеспечения OpenAI, ChatGPT.

С другой стороны, они также смогли использовать программное обеспечение, чтобы залатать дыры в киберзащите.

Исследователи из компании Check Point, занимающейся кибербезопасностью, показали как им удалось обойти блокировку OpenAI при разработке вредоносного ПО, просто удалив слово «вредоносное ПО» в запросе.

Затем GPT-4 помог им создать программное обеспечение, которое собирало PDF-файлы и отправляло их на удаленный сервер. Он пошел еще дальше, дав исследователям совет о том, как заставить его работать на ПК с Windows 10 и сделать его файл меньшего размера, чтобы он мог работать быстрее и иметь меньше шансов быть обнаруженным программным обеспечением безопасности.

Чтобы использовать GPT-4 для создания фишинговых писем, исследователи использовали два подхода.

В первом они использовали GPT-3.5, который не блокировал запросы на создание вредоносных сообщений, для написания фишингового письма, выдающего себя за законный банк. Затем они запросили GPT-4, который изначально отказался создавать оригинальное фишинговое сообщение, для улучшения языка.

Во втором они попросили совета по созданию кампании по повышению осведомленности о фишинге для бизнеса и запросили шаблон поддельного фишингового письма, который инструмент должным образом предоставил.

«GPT-4 может предоставить злоумышленникам, даже нетехническим, инструменты для ускорения и проверки их деятельности», — отметили исследователи Check Point в своем отчете.

«Мы видим, что GPT-4 может служить как хорошим, так и плохим. Хорошие могут использовать GPT-4 для создания и сшивки кода, полезного для общества; но в то же время злоумышленники могут использовать эту технологию искусственного интеллекта для быстрого совершения киберпреступлений».

Сергей Шикевич, менеджер группы угроз в Check Point, сказал, что существующие барьеры, препятствующие созданию фишингового или вредоносного кода GPT-4, на самом деле были ниже, чем в предыдущих версиях.

Он предположил, что это может быть связано с тем, что компания полагается на тот факт, что в настоящее время доступ имеют только премиум-пользователи. Тем не менее, добавил он, OpenAI должен был ожидать таких обходных путей.

«Я думаю, что они пытаются их предотвратить и уменьшить, но это игра в кошки-мышки», — добавил он.

GPT-4 действительно может помочь тем, у кого мало технических знаний, заняться созданием вредоносных инструментов.

Если вы действительно плохо разбираетесь в вещах, это действительно помогает. Он дает его вам на тарелке, — сказал он.

Сам OpenAI в документе, опубликованном вместе с GPT-4 ранее на этой неделе, признал, что этот инструмент может снизить стоимость «определенных шагов успешной кибератаки, например, с помощью социальной инженерии или путем улучшения существующих инструментов безопасности».

Если вы действительно плохо разбираетесь в вещах, это действительно помогает.

Но эксперты по кибербезопасности, нанятые OpenAI для тестирования своего интеллектуального чат-бота перед выпуском, обнаружили, что он имеет «значительные ограничения для операций кибербезопасности».

«Он не улучшает существующие инструменты для разведки, использования уязвимостей и навигации по сети и менее эффективен, чем существующие инструменты для сложных и высокоуровневых действий, таких как выявление новых уязвимостей», — пишет OpenAI. Однако хакеры обнаружили, что GPT4 «эффективен в создании реалистичного контента социальной инженерии».

«Чтобы смягчить потенциальные злоупотребления в этой области, мы обучили модели отклонять злонамеренные запросы кибербезопасности и масштабировали наши внутренние системы безопасности, в том числе в области мониторинга, обнаружения и реагирования», — добавил OpenAI в документе.

Хотя обыграть модели OpenAI может быть легко, «он не делает ничего такого, чего никогда раньше не делали», — говорит Катберт. По его словам, хороший хакер уже знает, как сделать многое из того, что может OpenAI, без какой-либо искусственной интеллектуальной поддержки.

И современные системы обнаружения также должны быть в состоянии обнаруживать виды вредоносных программ, которые ChatGPT помогает создавать, учитывая, что он узнал из предыдущих примеров, увиденных в Интернете, добавляет он.

Катберт больше всего воодушевлен тем, что GPT-4 может сделать для обороны. После того, как это помогло ему обнаружить ошибки в программном обеспечении, оно также предложило быстрое исправление с фактическими фрагментами кода, которые он мог копировать и вставлять в свою программу, исправляя ее за считанные секунды.

Оригинал статьи

P.S. Подпишитесь на проект «КОГоть» — “КраткоОГлавном” в Телеграм

Дзен увеличивает цензуру и блокирует посты.

Поэтому, возможно, основной площадкой для проекта «КОГоть» станет Телеграм.

Подпишитесь на телеграм-канал «Коготь» — давайте не теряться и оставаться на связи.

«Коготь» на других платформах: Дзен, VK и Youtube