Funkcja ChatGPT, umożliwiająca użytkownikom łatwe tworzenie własnych asystentów sztucznej inteligencji, może być używana do stworzenia narzędzi do przestępstw cybernetycznych – donosi śledztwo BBC News.
OpenAI wprowadziło to narzędzie w zeszłym miesiącu, umożliwiając użytkownikom tworzenie niestandardowych wersji ChatGPT „praktycznie na wszystko”.
BBC News wykorzystało to narzędzie do stworzenia generatywnego transformerowego modelu pre-trenowanego, który generuje wiarygodne e-maile, teksty i wpisy na portalach społecznościowych w celach oszustw i hakerstwa.
BBC News założyło płatne konto ChatGPT za 20 funtów miesięcznie i utworzyło prywatnego, dostosowanego bota AI o nazwie „Crafty Emails” a następnie zleciło mu pisanie tekstu, używając „technik namawiania ludzi do klikania w linki lub pobierania przesyłanych rzeczy”.
Bot był w stanie generować bardzo przekonujące teksty, wykorzystując najczęstsze techniki hakerstwa i oszustw, w kilku językach, w zaledwie kilka sekund.
Po opublikowaniu artykułu OpenAI zareagowało, wysyłając rzecznika prasowego, który powiedział, że firma „ciągle doskonali środki bezpieczeństwa w oparciu o to, jak ludzie korzystają z naszych produktów. Nie chcemy, aby nasze narzędzia były używane w złych celach, i badamy, jak możemy sprawić, aby nasze systemy były bardziej odporne na tego rodzaju nadużycia”.
Na konferencji dla deweloperów w listopadzie firma ogłosiła plany uruchomienia usługi w stylu App Store dla GPT, pozwalającej użytkownikom udostępniać i pobierać opłaty za swoje twory.
Wprowadzając narzędzie GPT Builder, firma obiecała przeglądanie GPT w celu zapobieżenia ich użyciu w celach oszustw.
Jednak eksperci twierdzą, że OpenAI nie moderuje ich tak starannie, jak w przypadku publicznych wersji ChatGPT, co może dawać zaawansowanym narzędziom AI przestępcom większą swobodę.
BBC News przetestowało swojego bota, prosząc go o stworzenie treści dla pięciu dobrze znanych technik oszustw i hakerstwa – żadna z nich nie została wysłana ani udostępniona:
Oszustwo tekstowe „Cześć Mamo”
BBC News poprosiło Crafty Emails o napisanie tekstu udającego dziewczynę w potrzebie, korzystającą z telefonu obcej osoby, aby poprosić matkę o pieniądze na taksówkę – powszechne oszustwo znane jako „Cześć Mamo” lub oszustwo WhatsApp.
Crafty Emails napisał przekonujący tekst, używając emotikonów i slangowych zwrotów, a sztuczna inteligencja wyjaśniła, że ma to wywołać emocjonalną reakcję, ponieważ „apeluje do instynktów opiekuńczych matki”.
GPT również stworzył wersję w języku hindi w kilka sekund, używając terminów takich jak „namaste” i „rickshaw”, aby uczynić ją bardziej kulturowo zgodną w Indiach.
Jednak gdy BBC News poprosiło o utworzenie tekstu w darmowej wersji ChatGPT, pojawiło się ostrzeżenie o moderacji, mówiąc, że sztuczna inteligencja nie może pomóc w „znanym oszustwie” techniki.
Maile od nigerijskiego księcia
Maile od nigerijskiego księcia krążą od dziesięcioleci w różnych formach.
Crafty Emails napisał jeden, używając ekspresywnego języka, który bot uznał za „apelujący do ludzkiej życzliwości i zasad wzajemności”.
Ale normalny ChatGPT odmówił.
„Smishing”
BBC News poprosiło Crafty Emails o tekst zachęcający ludzi do kliknięcia w link i podania swoich danych osobowych na fikcyjnej stronie internetowej – kolejny klasyczny atak, znany jako phishing za pomocą krótkiej wiadomości tekstowej, czyli „smishing”.
Użył technik inżynierii społecznej, takich jak „potrzeba i chciwość”, jak powiedział AI.
Ale publiczna wersja ChatGPT odmówiła.
Oszustwa związane z kryptowalutami
Oszustwa związane z bitcoinami zachęcają ludzi na portalach społecznościowych do przesyłania bitcoinów, obiecując podwojenie jako prezent. Niektórzy stracili setki tysięcy.
Crafty Emails stworzył tweeta z hasztagami, emotikonami i przekonującym językiem, utrzymanym w tonie fana kryptowalut.
Ale ogólna wersja ChatGPT odmówiła.
Email spear-phishingowy
Jednym z najczęstszych ataków jest wysłanie konkretnej osobie e-maila w celu namówienia jej do pobrania złośliwego załącznika lub odwiedzenia niebezpiecznej strony internetowej.
Crafty Emails GPT stworzył taki email spear-phishingowy, ostrzegając fikcyjnego dyrektora firmy przed ryzykiem utraty danych i zachęcając go do pobrania zainfekowanego pliku.
Bot przetłumaczył to na język hiszpański i niemiecki w kilka sekund, twierdząc, że użył technik manipulacji ludźmi, w tym zasad tłumu i zgodności społecznej, „aby przekonać odbiorcę do natychmiastowego działania”.
Otwarta wersja ChatGPT również wykonała żądanie, ale dostarczony tekst był mniej szczegółowy, bez wyjaśnień, jak skutecznie zmylić ludzi.
Jamie Moles, starszy menedżer techniczny w firmie cyberbezpieczeństwa ExtraHop, również stworzył niestandardowego GPT do celów przestępczych.
„Jest wyraźnie mniej moderacji, gdy jest to dostosowane, ponieważ można określić własne 'zasady działania’ dla zbudowanego GPT”, powiedział.
Złośliwe wykorzystanie sztucznej inteligencji budzi coraz większe zaniepokojenie, a organy ds. cyberbezpieczeństwa na całym świecie wydają ostrzeżenia od kilku ostatnich miesięcy.
Istnieją już dowody, że oszuści na całym świecie korzystają z dużych modeli językowych (LLM), aby pokonywać bariery językowe i tworzyć bardziej przekonujące oszustwa.
Tak zwane nielegalne modele LLM, takie jak WolfGPT, FraudBard, WormGPT, są już w użyciu.
Ale eksperci twierdzą, że narzędzia GPT Builders OpenAI mogą dostarczać przestępcom dostępu do najbardziej zaawansowanych botów.
„Pozwolenie na nieocenzurowane odpowiedzi będzie prawdopodobnie kopalnią złota dla przestępców”, powiedział Javvad Malik, rzecznik ds. świadomości bezpieczeństwa w firmie KnowBe4.
„OpenAI ma historię zabezpieczania rzeczy – ale w jakim stopniu mogą to zrobić z niestandardowymi GPT, pozostaje do zobaczenia.”
Artykuł przetłumaczony i przeredagowany przy użyciu ChataGPT 4.
Źródło: