ChatGPT fenomen: Saveznik ili slaba karika u cyber odbrani?
Kako je popularni ChatGPT nedavno doživio i svoju povredu podataka, Europol i sigurnosne kompanije su ga stavile pod lupu kao potencijalnog saveznika, ali i sumnjivo lice u virtuelnom perimetru cyber sigurnosti
Piše: Mirza Bahić; E-mail: mirza.bahic@asadria.com
Istraživačka kompanija OpenAI potvrdila je nedavno da je u martu 2023. svepopularni ChatGPT, bot vještačke inteligencije, posredno odgovoran za povredu podataka usljed buga koji je omogućio curenje privatnih podataka korisnika. Objelodanjene informacije uključivale su imena pretplatnika, e-mail i fizičke adrese te posljednje četiri cifre i datumi isteka kreditnih kartica.
Curenje ličnih i finansijskih podataka
Povreda podataka dovela je i do prekida rada ChatGPT-a, a korisnici čiji lični podaci nisu bili ugroženi mogli su barem vidjeti tuđe upite za razgovor sa vještačkom inteligencijom unutar svoje aplikacije. Kompanija OpenAI je povredu podataka pripisala bugu u Redis biblioteci otvorenog koda. Kao dodatnu mjeru kontrole štete po ugled popularnog bota, OpenAI je obavijestio javnost da će lično kontaktirati sve korisnike čiji su finansijski podaci objelodanjeni tokom incidenta. Dakle, slučaj je zatvoren i svi su sretni? Ne bi se reklo.
Italija gasi ChatGPT, EU radi na krovnom zakonu
Da je 2023. počela loše za servis koji je uveden tek u novembru 2022. godine, pokazala je i odluka italijanske vlade da ugasi ChatGPT zbog potencijala platforme da ugrozi privatnost svojih korisnika. Početkom aprila italijanska organizacija za zaštitu podataka naredila je kompaniji OpenAI da privremeno prestane s obradom podataka tamošnjih korisnika zbog istrage o kršenju evropskih propisa o privatnosti. U obrazloženju je navedeno da je do povrede podataka došlo jer je korisnicima omogućeno da vide dijelove razgovora koje su drugi korisnici vodili sa chatbotom. Za tu vrstu masovnog prikupljanja i obrade ličnih podataka za sada nema pravne osnove, naveli su italijanski regulatori. Zbog ovakvog zadiranja u privatnost korisnika kompanija OpenAI rizikuje da se suoči sa kaznom od 20 miliona eura. Italija nije jedina zemlja čiji su se regulatori našli u neobranom grožđu kada je u pitanju brzi tempo napredovanja vještačke inteligencije i implikacija ovog trenda po društvo.
Evropska unija trenutno radi na krovnom zakonu o vještačkoj inteligenciji koji će imati i svoju sigurnosnu komponentu, uz fokus na zaštitu privatnosti korisnika. To se vidi kao srednje rješenje u odnosu na zabranu ChatGPT-a koja je danas na snazi u zemljama poput Kine, Irana, Sjeverne Koreje i Rusije. Mana ovakvog pristupa je činjenica da bi evropski zakon o AI-ju mogao stupiti na snagu tek za nekoliko godina, kada će ova tehnologija već evoluirati do neprepoznatljivosti.
Upozorenja iz Europola
Možda će zakonodavci reagirati brže ako ozbiljnije shvate upozorenja o ChatGPT-u koja je u martu ove godine iznio Europol. Prema njima, kriminalci su već dobro upoznati s mogućnostima ovakvih platformi vještačke inteligencije za svoje ciljeve. U prvom redu, riječ je o njegovom korištenju za phishing te širenje dezinformacija i malvera. Kriminalci bi kao prvi korak mogli koristiti ChatGPT da znatno ubrzaju proces istraživanja u oblastima koje ne poznaju dovoljno. Bot im tu može lako pomoći da kreiraju uvjerljive tekstove za uvlačenje žrtvi u prevarantske sheme te dati im informacije koje se tiču terorizma, cyber kriminala i ilegalnih aktivnosti. “Iako ChatGPT koristi zaštitne mjere kao što su moderiranje sadržaja i odbijanje davanja odgovora na pitanja opisana kao opasna ili pristrasna, napadači ih mogu lako zaobići pametnim instrukcijama datim AI-ju”, smatraju u Europolu. Pri tome se sposobnost chatbota da oponaša stilove pisanja nameće kao važan alat za buduće phishing napade. Zbog prividne autentičnosti pratećeg sadržaja, korisnici će biti skloniji da kliknu na lažne linkove koji traže ostavljanje ličnih podataka.
Koristeći ChatGPT, čak i napadači kojima engleski ili neki drugi jezik nisu maternji mogu kreirati besprijekorne i naizgled legitimne e-mailove. Istovremeno, kreiranje ovakvih poruka pomoću ChatGPT-a je jako brz i masovan proces, uz personalizaciju sadržaja prema imitaciji tona, stila i detalja dobijenih iz prikupljenih ličnih podataka o žrtvi.
I dezinformacije i kodovi
Sposobnost ChatGPT-a da brzo proizvede tekst koji zvuči autentično čini ga idealnom platformom za širenje propagande i dezinformacija uz relativno malo truda. ChatGPT se može koristiti i za pisanje kompjuterskog koda, posebno za tehnički manje potkovane kriminalce koji ne poznaju kodiranje, a žele ga iskoristiti za infiltraciju na željeni sajt, navodi Europol. Protivmjera je, savjetuju stručnjaci Europola, podizanje svijesti o potencijalnoj zloupotrebi ChatGPT-a kako bi se osiguralo pravovremeno zatvaranje zakonskih i tehnoloških rupa prije nego što one otvore šire prečice za cyber kriminal.
Pozitivna strana
No, batina i u ovoj utrci u naoružanju ima dva kraja, tako da nezanemariv dio cyber zajednice vidi ChatGPT i kao saveznika u borbi protiv kriminala. Etički hakeri već koriste postojeće AI alate za pomoć u izradi izvještaja o cyber ranjivosti, kreiranje uzoraka koda i prepoznavanje ključnih trendova u velikim skupovima podataka. Ono u čemu AI, uključujući i ChatGPT, zaista može pomoći sigurnosnim timovima jeste brzina kao ključni sastojak u upravljanju ranjivostima. Isto tako, taman koliko ChatGPT može pomoći napadačima u kreiranju autentičnih phishing poruka, isti potencijal se može iskoristiti i za prepoznavanje ovih sadržaja. S vremenom će, smatraju zagovornici AI-ja, ChatGPT biti koristan alat da se utvrdi je li neki sadržaj za koji se sumnja da je phishing generisan s malicioznom namjerom ili je autentičan. Osim toga, ChatGPT već u ovoj fazi može postati i vrijedan alat u “ratnim igrama” u kojima se simuliraju hakerski napadi i odbrana od njih.
ChatGPT kao defanzivni igrač
U okviru simulacija koje je radilo više cyber kompanija, ovaj bot je, naprimjer, dao detaljne odgovore na upite o slabostima u softveru koji administratori često koriste za testiranje sigurnosti sistema, kao što je Nmap. ChatGPT je u tim situacijama čak davao i napredne sugestije o poželjnim skriptama za ažuriranje odbrane, sve uz ilustracije u vidu napisanih linija koda. Kako cyber napadi postaju češći i složeniji, AI alati kakav je ChatGPT mogu biti i dvanaesti igrač u preopterećenim IT timovima, prvenstveno jer su sposobni obraditi ogromne količine podataka i predviđati trendove na osnovu njih. Uz napredak komplementarnih tehnologija mašinskog učenja i obrade prirodnog jezika, ovaj proces će biti još brži i pomoći će u jačanju ugleda ChatGPT-a i srodnih sistema kao potpornog stuba cyber zaštite umjesto imidža distopijskog saveznika visokotehnološkog kriminala.