Konec roku 2022 byl mimo jiné ve znamení ukázky nových možností umělé inteligence. Společnost OpenAI představila chatbot nástroj ChatGPT, jehož prostřednictvím se s aktuálními schopnosti této technologie začíná zvolna seznamovat i široká veřejnost. Jistě, umělá inteligence (AI) už tu s námi nějaký ten rok je, ale běžný uživatel s ní dosud ve formě každodenně používaných online nástrojů příliš nepracoval.

ChatGPT však nyní každému zájemci jasně ukazuje, kam už současná technologie AI pokročila. Sociální sítě byly během několika týdnů zaplaveny vygenerovanými básněmi, vtipy, kriminálními příběhy, či dokonce úryvky funkčního kódu nebo celých programů ve vybraném jazyce.

Ale můžeme se na to podívat i z druhé strany. První uvedená schopnost – generovat rozumně vypadající text – je jako z říše snů pro tvůrce phishingových kampaní. I když se autoři původního textu proti jeho zneužití brání (viz obrázek 1), je velmi jednoduché ochranu obejít a získat celkem povedený návrh podvodného e-mailu (obrázek 2).

Spolu se schopností vytvářet funkční programy se pak nástroj může stát do široka otevřenou vstupní branou do světa kyberzločinu, a to i pro naprosté amatéry. Problematice se v několika článcích věnovali výzkumníci společností Check Point ^[1,2] a CyberArk ^[3].

O popularitě nástroje ChatGPT v hackerské komunitě svědčí i komunikace jejích členů na internetových fórech, v nichž diskutují nad možnostmi, jak obejít bezpečnostní opatření, která OpenAI zavedla. ^[4] Mezi tato zabezpečení patří například geoblokace (služby nejsou aktuálně přístupné pro Čínu, Rusko, Ukrajinu, Afghánistán, Bělorusko, Irán či Venezuelu) nebo ověření platebních karet pomocí SMS. ^[5]

Důsledkem využívání AI nástrojů může být jak prudký nárust sofistikovaných phishingových kampaní, tak i vznik méně kvalitního malwaru. Další zajímavý tip pak nabízí samotný ChatGPT nástroj, který výzkumníkům společnosti Check Point na dotaz „jak útočníci zneužívají OpenAI“ odpověděl: „…útočníci mohou využít nástroje pro tvorbu realistických, avšak uměle vytvořených médií, jako jsou audio či video nahrávky, které lze aplikovat k šíření dezinformací či pro manipulaci názoru veřejnosti…“

Další pokroky AI nástrojů můžeme v současné době pozorovat doslova s každým novým dnem. Jisté je, že minimálně na poli bezpečnosti se máme na co těšit.

Obrázek 1

Obrázek 2

Použité zdroje:

[1] -- https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/
[2] -- https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt
[3] -- https://www.cyberark.com/resources/threat-research-blog/chatting-our-way-into-creating-a-polymorphic-malware
[4] -- https://blog.checkpoint.com/2023/01/13/russian-hackers-attempt-to-bypass-openais-restrictions-for-malicious-use-of-chatgpt/
[5] -- https://mezha.media/en/2022/12/05/openai-equated-ukraine-with-russia-and-iran-by-banning-access-to-ai-based-chatbot-chatgpt/

Jakub Rubáš Security Specialist AEC a.s.