Shykevich, esperto di cybersecurity e uno dei principali ricercatori di ChatGPT, si dice “molto preoccupato per il futuro. Che non è tra 5 anni, è tra uno o al massimo due”
Che si tratti di scrivere saggi o analizzare dati, ChatGPT può essere utilizzato per alleggerire il carico di lavoro di una persona. Questo vale anche per i criminali informatici.
Sergey Shykevich, uno dei principali ricercatori di ChatGPT presso la società di sicurezza informatica Checkpoint Security, ha già visto i criminali informatici sfruttare il potere dell’intelligenza artificiale per creare codici che possono essere utilizzati in un attacco ransomware (cioè il blocco dei dati, risolvibile tramite il pagamento di un riscatto).
Il team di Shykevich ha iniziato a studiare il potenziale dell’IA di prestarsi ai crimini informatici nel dicembre 2021. Utilizzando il modello di linguaggio di grandi dimensioni dell’IA, hanno creato e-mail di phishing e codici dannosi. Quando è diventato chiaro che ChatGPT poteva essere utilizzato per scopi illegali, Shykevich ha detto a Insider che il team voleva vedere se le loro scoperte fossero o meno “teoriche” o se potessero trovare “i cattivi che lo usavano realmente”.
Poiché è difficile dire se un’e-mail dannosa consegnata alla posta in arrivo di qualcuno sia stata scritta con ChatGPT, il suo team si è rivolto al dark web per vedere come veniva utilizzata l’applicazione.
Il 21 dicembre hanno trovato la loro prima prova: i criminali informatici stavano usando il chatbot per creare uno script Python che potesse essere utilizzato in un attacco di malware. Il codice conteneva alcuni errori, ha detto Shykevich, ma in gran parte era corretto. “La cosa interessante è che questi ragazzi che l’hanno pubblicato non avevano mai sviluppato nulla prima”, ha detto.
Shykevich ha affermato che ChatGPT e Codex, un servizio OpenAI in grado di scrivere codice per gli sviluppatori, “consentiranno alle persone meno esperte di essere sviluppatori. O meglio, presunti tali”.
L’uso improprio di ChatGPT, che ora sta alimentando il nuovo, già preoccupante chatbot di Bing, sta preoccupando gli esperti di sicurezza informatica, che vedono il potenziale dei chatbot di essere d’aiuto in attacchi di phishing, malware e hacking.
Justin Fier, direttore di Cyber Intelligence & Analytics presso Darktrace, una società di sicurezza informatica, ha detto a Insider quando si tratta di attacchi di phishing, la barriera all’ingresso è già bassa, ma ChatGPT potrebbe rendere semplice per le persone creare in modo efficiente dozzine di e-mail di truffa mirate.
“Per il phishing, è tutta una questione di volume: immagina 10.000 e-mail, altamente mirate. E ora invece di 100 clic positivi, ne ho tre o 4.000”, ha detto Fier, riferendosi a un numero ipotetico di persone che potrebbero fare clic su un’e-mail di phishing , che viene utilizzato per convincere gli utenti a fornire informazioni personali, come le password bancarie. “È enorme, ed è tutto incentrato su quell’obiettivo.”
All’inizio di febbraio, la società di sicurezza informatica Blackberry ha pubblicato un sondaggio condotto da 1.500 esperti di tecnologia dell’informazione, il 74% dei quali ha dichiarato di essere preoccupato che ChatGPT aiuti il crimine informatico.
Il sondaggio ha anche rilevato che il 71% ritiene che ChatGPT possa essere già utilizzato dagli stati per attaccare altri Paesi attraverso tentativi di hacking e phishing.
“È stato ben documentato che persone malintenzionate stanno testando le acque ma, nel corso di quest’anno, ci aspettiamo di vedere gli hacker capire meglio come utilizzare ChatGPT con successo per scopi nefasti”, Shishir Singh, chief technology officer di Cybersecurity in BlackBerry, ha scritto in un comunicato stampa.
Singh ha detto a Insider che queste paure derivano dal rapido progresso dell’intelligenza artificiale nell’ultimo anno. Gli esperti hanno affermato che i progressi nei modelli linguistici di grandi dimensioni, che ora sono più abili nell’imitare il linguaggio umano, sono proceduti più rapidamente del previsto.
LEGGI ANCHE Meta e il super chatbot: “LLaMA, un passo avanti agli altri”
Singh ha descritto le rapide innovazioni come un “film di fantascienza”. “Qualunque cosa abbiamo visto negli ultimi 9 o 10 mesi l’abbiamo vista solo a Hollywood”, ha detto Singh.
Mentre i criminali informatici iniziano ad aggiungere ChatGPT e similia al loro toolkit, esperti come l’ex procuratore federale Edward McAndrew si chiedono se le aziende si assumeranno qualche responsabilità per questi crimini.
Ad esempio, McAndrew, che ha lavorato con il Dipartimento di Giustizia per indagare sul crimine informatico, ha sottolineato che se ChatGPT, o un chatbot simile, consigliasse a qualcuno di commettere un crimine informatico, potrebbe essere una responsabilità per le aziende che facilitano questi chatbot.
Nel trattare con contenuti illegali o criminali sui propri siti da utenti di terze parti, la maggior parte delle aziende tecnologiche cita la Sezione 230 del Communications Decency Act del 1996. L’atto afferma che i fornitori di siti che consentono alle persone di pubblicare contenuti, come Facebook o Twitter, non responsabili dei contenuti sulle loro piattaforme.
Tuttavia, poiché il discorso proviene dal chatbot stesso, McAndrew ha affermato che la legge potrebbe non proteggere OpenAI da cause civili o procedimenti giudiziari, sebbene le versioni open source potrebbero rendere più difficile collegare i crimini informatici a OpenAI.
Anche l’ambito delle tutele legali per le società tecnologiche ai sensi della Sezione 230 è stato contestato questa settimana davanti alla Corte Suprema da una famiglia di una donna uccisa dai terroristi dell’ISIS nel 2015. La famiglia sostiene che Google dovrebbe essere ritenuto responsabile per il suo algoritmo che promuove video agli estremisti.
McAndrew ha anche affermato che ChatGPT potrebbe anche fornire un “tesoro di informazioni” per coloro che hanno il compito di raccogliere prove per tali crimini, se fossero in grado di citare in giudizio società come OpenAI.
E prosegue: “Sin dagli albori, i criminali sono tra i primi ad adottare l’uso di internet. E lo stiamo vedendo di nuovo, con molti strumenti di intelligenza artificiale”.
McAndrew ha affermato di vedere un dibattito politico su come gli Stati Uniti – e il mondo in generale – fisseranno i parametri per le aziende tecnologiche e di intelligenza artificiale.
Nel sondaggio Blackberry, il 95% degli intervistati IT ha affermato che i governi dovrebbero essere responsabili della creazione e dell’attuazione delle normative.
McAndrew ha affermato che il compito di regolamentarlo può essere impegnativo, poiché non esiste un’agenzia o un livello di governo incaricato esclusivamente di creare mandati per l’industria dell’IA e che la questione della tecnologia dell’IA va oltre i confini degli Stati Uniti.
“Dovremo avere coalizioni internazionali e norme internazionali sul comportamento informatico, e mi aspetto che ci vorranno decenni per svilupparsi se saremo mai in grado di svilupparlo”.
Una cosa di ChatGPT che potrebbe rendere più difficile il crimine informatico è che non è infallibile, il che potrebbe rappresentare un problema per un criminale informatico che cerca di redigere un’e-mail destinata a derubare qualcuno, hanno detto gli esperti a Insider. Nel codice che Shykevich e i suoi colleghi hanno scoperto sul dark web, gli errori necessitavano di correzioni affinché la truffa funzionasse.
Inoltre, ChatGPT continua a implementare barriere per scoraggiare le attività illegali, ma queste possono spesso essere aggirate con la conersazione giusta. Shykevich ha sottolineato che alcuni criminali informatici si stanno ora appoggiando ai modelli API di ChatGPT, versioni open source dell’applicazione che non hanno le stesse restrizioni sui contenuti dell’interfaccia utente web.
Shykevich ha anche affermato che a questo punto ChatGPT non può aiutare a creare malware sofisticati o creare siti Web falsi che sembrano, ad esempio, il sito di una banca importante.
Tuttavia, questo un giorno potrebbe essere una realtà, poiché la corsa agli armamenti di intelligenza artificiale creata dai giganti della tecnologia potrebbe accelerare lo sviluppo di migliori chatbot, ha detto Shykevich a Insider.
“Sono preoccupato per il futuro e ora sembra che il futuro non sia tra 4-5 anni, ma piuttosto tra un anno o due”, ha detto Shykevich. Infine, Open AI non ha risposto alla richiesta di commento di Insider.
(foto SHUTTERSTOCK)
