Business Insider
Hannah Getahun, 20:26, ngày 25 tháng 2 năm 2023
Lỗ câu cá trên băng có hình logo ChatGPT và móc câu ở trung tâm
Tyler Le/Insider
Ngành an ninh mạng đã chứng kiến bằng chứng về việc bọn tội phạm sử dụng ChatGPT.
ChatGPT có thể nhanh chóng tạo các email lừa đảo có chủ đích hoặc mã độc cho các cuộc tấn công bằng phần mềm độc hại.
Các công ty AI có thể phải chịu trách nhiệm pháp lý đối với tội phạm tư vấn chatbot vì Mục 230 có thể không áp dụng.
Cho dù đó là viết luận hay phân tích dữ liệu, ChatGPT có thể được sử dụng để giảm bớt khối lượng công việc của một người. Điều đó cũng xảy ra với tội phạm mạng.
Sergey Shykevich, nhà nghiên cứu ChatGPT hàng đầu tại công ty an ninh mạng Checkpoint security, đã chứng kiến tội phạm mạng khai thác sức mạnh của AI để tạo mã có thể được sử dụng trong một cuộc tấn công ransomware.
Nhóm của Shykevich bắt đầu nghiên cứu khả năng AI có thể tiếp tay cho tội phạm mạng vào tháng 12 năm 2021. Bằng cách sử dụng mô hình ngôn ngữ lớn của AI, họ đã tạo ra các email lừa đảo và mã độc. Khi rõ ràng ChatGPT có thể được sử dụng cho các mục đích bất hợp pháp, Shykevich nói với Insider rằng nhóm muốn xem liệu phát hiện của họ có phải là “lý thuyết” hay liệu họ có thể tìm thấy “những kẻ xấu đang sử dụng nó trong tự nhiên hay không”.
Vì rất khó để biết liệu một email có hại được gửi đến hộp thư đến của ai đó có được viết bằng ChatGPT hay không, nên nhóm của anh ấy đã chuyển sang trang web tối để xem ứng dụng này đang được sử dụng như thế nào.
Vào ngày 21 tháng 12, họ đã tìm thấy bằng chứng đầu tiên: tội phạm mạng đang sử dụng chatbot để tạo một tập lệnh python có thể được sử dụng trong một cuộc tấn công bằng phần mềm độc hại. Shykevich nói rằng mã có một số lỗi, nhưng phần lớn là đúng.
“Điều thú vị là những người đăng nó chưa từng phát triển bất cứ thứ gì trước đây,” anh nói.
Shykevich nói rằng ChatGPT và Codex, một dịch vụ OpenAI có thể viết mã cho các nhà phát triển, sẽ “cho phép những người ít kinh nghiệm hơn được coi là nhà phát triển.”
Việc lạm dụng ChatGPT — hiện đang cung cấp năng lượng cho chatbot mới, vốn đã gây rắc rối của Bing — đang khiến các chuyên gia an ninh mạng lo lắng, những người nhận thấy tiềm năng chatbot hỗ trợ trong các cuộc tấn công lừa đảo, phần mềm độc hại và hack.
Justin Fier, giám đốc Cyber Intelligence & Analytics tại Darktrace, một công ty an ninh mạng, nói với Insider rằng khi nói đến các cuộc tấn công lừa đảo, rào cản gia nhập đã thấp, nhưng ChatGPT có thể giúp mọi người tạo ra hàng chục email lừa đảo được nhắm mục tiêu một cách dễ dàng — miễn là họ tạo ra lời nhắc tốt.
“Đối với lừa đảo, tất cả là về số lượng – hãy tưởng tượng 10.000 email, được nhắm mục tiêu cao. Và bây giờ thay vì 100 lần nhấp tích cực, tôi có ba hoặc 4.000”, Fier nói, đề cập đến số lượng người giả định có thể nhấp vào một email lừa đảo , được sử dụng để yêu cầu người dùng cung cấp thông tin cá nhân, chẳng hạn như mật khẩu ngân hàng. “Đó là rất lớn, và đó là tất cả về mục tiêu đó.”
Một ‘phim khoa học viễn tưởng’
Đầu tháng 2, công ty an ninh mạng Blackberry đã công bố một cuộc khảo sát từ 1.500 chuyên gia công nghệ thông tin, 74% trong số họ cho biết họ lo lắng về việc ChatGPT hỗ trợ tội phạm mạng.
Cuộc khảo sát cũng cho thấy 71% tin rằng ChatGPT có thể đã được các quốc gia sử dụng để tấn công các quốc gia khác thông qua các nỗ lực hack và lừa đảo.
Shishir Singh, Giám đốc Công nghệ cho biết: “Đã có tài liệu rõ ràng rằng những người có mục đích xấu đang thử nghiệm vùng biển này, nhưng trong suốt năm nay, chúng tôi hy vọng sẽ thấy tin tặc xử lý tốt hơn nhiều về cách sử dụng ChatGPT thành công cho các mục đích bất chính”. về An ninh mạng tại BlackBerry, đã viết trong một thông cáo báo chí.
Singh nói với Insider rằng những lo ngại này bắt nguồn từ sự tiến bộ nhanh chóng của AI trong năm qua. Các chuyên gia đã nói rằng những tiến bộ trong các mô hình ngôn ngữ lớn – hiện đã thành thạo hơn trong việc bắt chước lời nói của con người – đã tiến triển nhanh hơn dự kiến.
Singh đã mô tả những đổi mới nhanh chóng như một thứ gì đó bước ra từ “bộ phim khoa học viễn tưởng”.
Singh nói: “Bất cứ điều gì chúng tôi đã thấy trong 9 đến 10 tháng qua, chúng tôi chỉ thấy ở Hollywood.
Việc sử dụng tội phạm mạng có thể là trách nhiệm đối với Open AI
Khi tội phạm mạng bắt đầu thêm những thứ như ChatGPT vào bộ công cụ của chúng, các chuyên gia như cựu công tố viên liên bang Edward McAndrew đang tự hỏi liệu các công ty có chịu trách nhiệm về những tội ác này hay không.
Ví dụ: McAndrew, người đã làm việc với Bộ Tư pháp điều tra tội phạm mạng, đã chỉ ra rằng nếu ChatGPT hoặc một chatbot giống như vậy, khuyên ai đó phạm tội mạng, thì đó có thể là trách nhiệm pháp lý đối với các công ty hỗ trợ các chatbot này.
Khi xử lý nội dung bất hợp pháp hoặc tội phạm trên trang web của họ từ người dùng bên thứ ba, hầu hết các công ty công nghệ đều trích dẫn Mục 230 của Đạo luật về khuôn phép trong giao tiếp năm 1996. Đạo luật quy định rằng các nhà cung cấp trang web cho phép mọi người đăng nội dung — như Facebook hoặc Twitter — là không chịu trách nhiệm về bài phát biểu trên nền tảng của họ.
Tuy nhiên, vì bài phát biểu đến từ chính chatbot, McAndrew cho biết luật có thể không bảo vệ OpenAI khỏi các vụ kiện dân sự hoặc truy tố – mặc dù các phiên bản nguồn mở có thể khiến việc ràng buộc tội phạm mạng trở lại OpenA trở nên khó khăn hơnTÔI.
Phạm vi bảo vệ pháp lý cho các công ty công nghệ theo Mục 230 cũng đang bị thách thức trong tuần này trước Tòa án Tối cao bởi một gia đình của một phụ nữ bị những kẻ khủng bố ISIS giết vào năm 2015. Gia đình này lập luận rằng Google phải chịu trách nhiệm pháp lý về thuật toán của họ quảng cáo các video cực đoan.
McAndrew cũng cho biết ChatGPT cũng có thể cung cấp một “kho tàng thông tin” cho những người được giao nhiệm vụ thu thập bằng chứng cho những tội ác như vậy nếu họ có thể gửi trát hầu tòa cho các công ty như OpenAI.
“Đó là những câu hỏi thực sự thú vị đã mất nhiều năm,” McAndrew nói, “nhưng như chúng ta thấy nó đã đúng kể từ buổi bình minh của Internet, bọn tội phạm là một trong những đối tượng chấp nhận sớm nhất. Và chúng ta đang chứng kiến điều đó một lần nữa, với rất nhiều của các công cụ AI.”
Trước những câu hỏi này, McAndrew cho biết ông thấy một cuộc tranh luận chính sách về cách Hoa Kỳ — và thế giới nói chung — sẽ thiết lập các thông số cho AI và các công ty công nghệ.
Trong cuộc khảo sát của Blackberry, 95% số người được hỏi về CNTT cho biết các chính phủ phải chịu trách nhiệm tạo và thực hiện các quy định.
McAndrew cho biết nhiệm vụ điều chỉnh nó có thể là một thách thức, vì không có một cơ quan hay cấp chính quyền nào chịu trách nhiệm tạo ra các nhiệm vụ cho ngành AI và vấn đề về công nghệ AI vượt ra ngoài biên giới Hoa Kỳ.
“Chúng ta sẽ phải có các liên minh quốc tế và các chuẩn mực quốc tế về hành vi trên mạng, và tôi cho rằng điều đó sẽ mất nhiều thập kỷ để phát triển nếu chúng ta có thể phát triển nó.”
Công nghệ vẫn chưa hoàn hảo cho tội phạm mạng
Các chuyên gia nói với Insider rằng một điều về ChatGPT có thể khiến tội phạm mạng trở nên khó khăn hơn đó là nó được biết đến là có sai sót đáng tin cậy — điều này có thể gây ra vấn đề cho tội phạm mạng khi cố gắng soạn thảo một email nhằm bắt chước người khác. Trong đoạn mã mà Shykevich và các đồng nghiệp của ông phát hiện ra trên dark web, các lỗi cần được sửa trước khi nó có thể hỗ trợ cho một vụ lừa đảo.
Ngoài ra, ChatGPT tiếp tục triển khai các biện pháp bảo vệ để ngăn chặn hoạt động bất hợp pháp, mặc dù các biện pháp bảo vệ này thường có thể được vượt qua bằng tập lệnh phù hợp. Shykevich đã chỉ ra rằng một số tội phạm mạng hiện đang dựa vào các mô hình API của ChatGPT — các phiên bản nguồn mở của ứng dụng không có các giới hạn nội dung giống như giao diện người dùng web.
Shykevich cũng cho biết tại thời điểm này, ChatGPT không thể hỗ trợ tạo phần mềm độc hại tinh vi hoặc tạo các trang web giả mạo, chẳng hạn như trang web của một ngân hàng nổi tiếng.
Tuy nhiên, một ngày nào đó điều này có thể trở thành hiện thực vì cuộc chạy đua vũ trang AI do những gã khổng lồ công nghệ tạo ra có thể thúc đẩy sự phát triển của các chatbot tốt hơn, Shykevich nói với Insider.
“Tôi quan tâm nhiều hơn đến tương lai và có vẻ như bây giờ tương lai không phải là 4-5 năm nữa mà là một hoặc hai năm nữa,” Shykevich nói.
Open AI đã không trả lời ngay lập tức yêu cầu bình luận của Insider.
