Seit seinem Debüt im November ist ChatGPT zum neuen Lieblingsspielzeug des Internets geworden. Das KI-gesteuerte Tool zur Verarbeitung natürlicher Sprache hat schnell mehr als eine Million Benutzer angehäuft, die den webbasierten Chatbot für alles von Generieren verwendet haben Hochzeitsreden und Hip-Hop-Texte zum Erstellen akademischer Aufsätze und zum Schreiben von Computercodes.
Die menschenähnlichen Fähigkeiten von ChatGPT haben nicht nur das Internet im Sturm erobert, sondern auch eine Reihe von Branchen nervös gemacht: Eine New Yorker Schule hat ChatGPT verboten, weil sie befürchtet, dass Schüler damit betrogen werden könnten, Texter waren es bereits ersetztund Berichten zufolge ist Google so beunruhigt über die Fähigkeiten von ChatGPT, dass es gab einen „code rot“ aus um das Überleben des Suchgeschäfts des Unternehmens zu sichern.
Es scheint, dass die Cybersicherheitsbranche, eine Community, die den potenziellen Auswirkungen der modernen KI seit langem skeptisch gegenübersteht, dies auch bemerkt, da sie befürchtet, dass ChatGPT von Hackern mit begrenzten Ressourcen und null technischem Wissen missbraucht werden könnte.
Nur wenige Wochen nach dem Debüt von ChatGPT startete das israelische Cybersicherheitsunternehmen Check Point gezeigt wie der webbasierte Chatbot, wenn er zusammen mit OpenAIs Codeschreibsystem Codex verwendet wird, eine Phishing-E-Mail erstellen könnte, die eine bösartige Nutzlast tragen kann. Sergey Shykevich, Manager der Threat Intelligence Group von Check Point, sagte gegenüber Tech, dass Anwendungsfälle wie dieser seiner Meinung nach zeigen, dass ChatGPT das „Potenzial hat, die Cyber-Bedrohungslandschaft erheblich zu verändern“, und fügte hinzu, dass es „einen weiteren Schritt nach vorne in der gefährlichen Entwicklung von immer raffinierter und effektiver darstellt Cyber-Fähigkeiten.“
Auch Tech konnte mithilfe des Chatbots eine legitim aussehende Phishing-E-Mail generieren. Als wir ChatGPT zum ersten Mal baten, eine Phishing-E-Mail zu erstellen, lehnte der Chatbot die Anfrage ab. „Ich bin nicht darauf programmiert, bösartige oder schädliche Inhalte zu erstellen oder zu bewerben“, spuckte eine Aufforderung zurück. Aber das Umschreiben der Anfrage erlaubte es uns, die eingebauten Leitplanken der Software leicht zu umgehen.
Viele der Sicherheitsexperten, mit denen Tech gesprochen hat, glauben, dass die Fähigkeit von ChatGPT, legitim klingende Phishing-E-Mails zu schreiben – der Hauptangriffsvektor für Ransomware – dazu führen wird, dass der Chatbot von Cyberkriminellen, insbesondere solchen, die keine englischen Muttersprachler sind, weithin angenommen wird.
Chester Wisniewski, leitender Forschungswissenschaftler bei Sophos, sagte, es sei leicht zu erkennen, dass ChatGPT für „alle Arten von Social-Engineering-Angriffen“ missbraucht wird, bei denen die Täter den Eindruck erwecken wollen, in einem überzeugenderen amerikanischen Englisch zu schreiben.
„Grundsätzlich konnte ich damit einige großartige Phishing-Köder schreiben, und ich gehe davon aus, dass es für realistischere interaktive Gespräche zur Kompromittierung geschäftlicher E-Mails und sogar für Angriffe über Facebook Messenger, WhatsApp oder andere Chat-Apps verwendet werden könnte. “, sagte Wisniewski gegenüber Tech.
„Eigentlich Malware zu bekommen und sie zu benutzen, ist ein kleiner Teil der Scheißarbeit, die dazu führt, ein Cyberkrimineller von unten zu sein.“ Der Grugq, Sicherheitsforscher
Die Vorstellung, dass ein Chatbot überzeugende Texte und realistische Interaktionen schreiben könnte, ist gar nicht so weit hergeholt. „Zum Beispiel können Sie ChatGPT anweisen, sich als Allgemeinmediziner auszugeben, und es wird in Sekundenschnelle lebensechten Text generieren“, sagte Hanah Darley, die die Bedrohungsforschung bei Darktrace leitet, gegenüber Tech. „Es ist nicht schwer vorstellbar, wie Bedrohungsakteure dies als Kraftmultiplikator nutzen könnten.“
Check Point auch vor kurzem schlug Alarm über die offensichtliche Fähigkeit des Chatbots, Cyberkriminellen beim Schreiben von bösartigem Code zu helfen. Die Forscher sagen, dass sie mindestens drei Fälle miterlebt haben, in denen Hacker ohne technische Kenntnisse damit prahlten, wie sie die KI-Intelligenz von ChatGPT für böswillige Zwecke genutzt hätten. Ein Hacker zeigte in einem Dark-Web-Forum von ChatGPT geschriebenen Code, der angeblich interessante Dateien gestohlen, komprimiert und über das Internet gesendet hat. Ein anderer Benutzer hat ein Python-Skript gepostet, von dem er behauptete, dass es das erste Skript war, das er jemals erstellt hatte. Check Point stellte fest, dass der Code zwar harmlos zu sein schien, aber „leicht geändert werden konnte, um den Computer einer anderen Person vollständig ohne Benutzerinteraktion zu verschlüsseln“. Derselbe Forenbenutzer verkaufte zuvor Zugang zu gehackten Unternehmensservern und gestohlenen Daten, sagte Check Point.
Wie schwierig könnte es sein?
Dr. Suleyman Ozarslan, ein Sicherheitsforscher und Mitbegründer von Picus Security, demonstrierte kürzlich gegenüber Tech, wie ChatGPT verwendet wurde, um einen Phishing-Köder mit WM-Thema und einen auf macOS ausgerichteten Ransomware-Code zu schreiben. Ozarslan bat den Chatbot, Code für Swift zu schreiben, die Programmiersprache für die Entwicklung von Apps für Apple-Geräte, die Microsoft Office-Dokumente auf einem MacBook finden und über eine verschlüsselte Verbindung an einen Webserver senden kann, bevor die Office-Dokumente auf dem MacBook verschlüsselt werden .
„Ich habe keine Zweifel, dass ChatGPT und andere Tools wie dieses die Cyberkriminalität demokratisieren werden“, sagte Ozarslan. „Es ist schon schlimm genug, dass Ransomware-Code bereits verfügbar ist, damit die Leute ihn ‚von der Stange‘ im Dark Web kaufen können, jetzt kann ihn praktisch jeder selbst erstellen.“
Es überrascht nicht, dass Nachrichten über die Fähigkeit von ChatGPT, bösartigen Code zu schreiben, in der gesamten Branche für Stirnrunzeln sorgten. Es hat sich auch gezeigt, dass einige Experten Bedenken entkräften, dass ein KI-Chatbot Möchtegern-Hacker in vollwertige Cyberkriminelle verwandeln könnte. In einem Post auf Mastodonder unabhängige Sicherheitsforscher The Grugq, verspottete die Behauptungen von Check Point, ChatGPT werde „Cyberkriminelle, die beim Codieren scheiße sind, überfordern“.
„Sie müssen Domains registrieren und die Infrastruktur unterhalten. Sie müssen Websites mit neuen Inhalten aktualisieren und diese Software, die kaum funktioniert, auf einer etwas anderen Plattform weiterhin kaum funktionieren. Sie müssen ihre Infrastruktur auf Gesundheit überwachen und prüfen, was in den Nachrichten passiert, um sicherzustellen, dass ihre Kampagne nicht in einem Artikel über die „Top 5 der peinlichsten Phishing-Phails“ erscheint“, sagte The Grugq. „Eigentlich Malware zu bekommen und sie zu benutzen, ist ein kleiner Teil der Scheißarbeit, die dazu führt, ein Cyberkrimineller von unten zu sein.“
Einige glauben, dass die Fähigkeit von ChatGPT, bösartigen Code zu schreiben, ein Ergebnis hat.
„Verteidiger können ChatGPT verwenden, um Code zu generieren, um Gegner zu simulieren oder sogar Aufgaben zu automatisieren, um die Arbeit zu erleichtern. Es wurde bereits für eine Vielzahl beeindruckender Aufgaben eingesetzt, darunter personalisierte Schulungen, das Verfassen von Zeitungsartikeln und das Schreiben von Computercodes“, sagte Laura Kankaala, Threat Intelligence Lead von F-Secure. „Es sollte jedoch beachtet werden, dass es gefährlich sein kann, der von ChatGPT generierten Text- und Codeausgabe vollständig zu vertrauen – der generierte Code könnte Sicherheitsprobleme oder Schwachstellen aufweisen. Der generierte Text könnte auch sachliche Fehler aufweisen“, fügte Kankaala hinzu und bezweifelte die Zuverlässigkeit des von ChatGPT generierten Codes.
Jake Moore von ESET sagte, während sich die Technologie weiterentwickelt, „wenn ChatGPT genug aus seinem Input lernt, kann es möglicherweise bald potenzielle Angriffe im laufenden Betrieb analysieren und positive Vorschläge zur Verbesserung der Sicherheit machen.“
Es sind nicht nur die Sicherheitsexperten, die darüber streiten, welche Rolle ChatGPT in der Zukunft der Cybersicherheit spielen wird. Wir waren auch gespannt, was ChatGPT zu sagen hat, als wir dem Chatbot die Frage gestellt haben.
„Es ist schwierig, genau vorherzusagen, wie ChatGPT oder andere Technologien in Zukunft verwendet werden, da es davon abhängt, wie sie implementiert werden und von den Absichten derer, die sie verwenden“, antwortete der Chatbot. „Letztendlich werden die Auswirkungen von ChatGPT auf die Cybersicherheit davon abhängen, wie es verwendet wird. Es ist wichtig, sich der potenziellen Risiken bewusst zu sein und geeignete Maßnahmen zu ihrer Minderung zu ergreifen.“