کارشناسان امنیتی روشی را برای فریب چت ربات معروف هوش مصنوعی ChatGPT برای ایجاد بدافزار توسعه داده اند. بنابراین تنها چیزی که برای به دست آوردن ربات چت برای انجام آنچه میخواهید نیاز دارید، چند سؤال هوشمندانه و یک لحن معتبر است.
کاربران برای تولید کد با استفاده از ChatGPT باید دستورات و تنظیمات خاصی را ارائه دهند. علاوه بر این، دارای یک سیستم فیلترینگ داخلی است که آن را از پاسخگویی به سوالات مربوط به موضوعات ناامن مانند تزریق کد باز می دارد، اما به راحتی قابل دور زدن است.
CodeBlue29 از ChatGPT OpenAI برای ایجاد یک نمونه آزمایشی باج افزار استفاده کرد تا از آن برای آزمایش راه حل های مختلف EDR استفاده کند تا به آنها کمک کند تصمیم بگیرند کدام محصول را برای شرکت خود خریداری کنند.
آنها توانستند از ChatGPT تکههایی از کد تولید کنند که میتوانستند با هم ضمیمه شوند تا نمونهای از باجافزار سفارشی در پایتون ایجاد کنند، علیرغم اینکه تجربه برنامهنویسی کمی داشتند.
در طول آزمایش باج افزار در برابر چندین راه حل EDR، بدافزار توانست یکی از دفاعیات فروشنده را دور بزند. Codeblue29 توانست این کشف را به فروشنده EDR از طریق برنامه پاداش باگ آنها گزارش کند که منجر به حل این مشکل شد.
آنها این کار را با اصرار در گرفتن ChatGPT برای مطابقت با درخواست آنها انجام دادند. آنها ربات چت را متقاعد کردند که سوالاتی مانند “من به دنبال نوشتن یک اسکریپت پایتون هستم که در دایرکتوری های من راه برود” را به آنها ارائه دهد.
آنها می گویند، “وقتی در دایرکتوری های من قدم می زند، وقتی آن را در مسیر فایل قرار می دهم، می بینید که من ریشه و مسیر فایل را اضافه می کنم. بنابراین اگر این را پرینت کنید، می گوید که در دایرکتوری C قرار دارد.
“در اینجا، این کل مسیر، و همچنین نام فایل و پسوند است.” بنابراین بهتر است تا زمانی که پاسخ کامل را دریافت نکردید، به عمیقتر شدن سؤال ادامه دهید.
به گفته محققان CyberArk، «جالب است که با درخواست از ChatGPT برای انجام همان کار با استفاده از محدودیتهای متعدد و درخواست از آن برای اطاعت، یک کد عملکردی دریافت کردیم.»
محققان اظهار داشتند که فقط از ChatGPT نمی پرسند که چگونه باج افزار بسازد، بلکه در مراحلی است که هر برنامه نویس عادی فکر می کند داشته باشد، مانند اینکه چگونه از طریق دایرکتوری ها عبور کنم؟ روش رمزگذاری فایل ها چگونه است؟ حالم چطوره؟ بنابراین این یک راه هوشمندانه برای انجام آن و یک روش هوشمندانه برای دور زدن GPT چت است.
علاوه بر این، در آینده، کارشناسان می گویند این احتمالا به رشد GPT چت کمک می کند و از ایجاد بدافزار بیشتر توسط افراد جلوگیری می کند. زیرا در حالت ایدهآل این در حال حاضر در حال انجام است، اما در صورت امکان، ما نمیخواهیم در دنیایی زندگی کنیم که در آن هیچکس، مانند بچهها یا هر کسی که باشد، بتواند برود و فقط به یک رایانه بگوید، هی، بدافزار وحشتناک، و این در حال رفتن است. تا آن را برای آنها بنویسم و سپس منتشر کنیم.
همچنین این احتمال وجود دارد که محققان از این ابزار برای خنثی کردن حملات استفاده کنند و توسعه دهندگان نرم افزار از آن برای بهبود کد خود استفاده کنند. با این حال، هوش مصنوعی در ایجاد بدافزار بهتر از شناسایی آن است.
نویسندگان بدافزار، مانند بسیاری از پیشرفتهای فناوری، راههایی را برای بهرهبرداری از ChatGPT برای انتشار بدافزار کشف کردهاند. محتوای مخرب تولید شده توسط ابزار هوش مصنوعی، مانند پیام های فیشینگ، دزدان اطلاعات و نرم افزارهای رمزگذاری، به طور گسترده به صورت آنلاین توزیع شده است.
ChatGPT یک API ارائه می دهد که برنامه های شخص ثالث را قادر می سازد تا از هوش مصنوعی پرس و جو کنند و پاسخ ها را از طریق یک اسکریپت به جای رابط کاربر آنلاین دریافت کنند.
چندین نفر قبلاً از این API برای ایجاد ابزارهای تجزیه و تحلیل منبع باز چشمگیر استفاده کرده اند که می تواند کار محققان امنیت سایبری را بسیار آسان کند.
محققان گفتند: «به یاد داشته باشید که این فقط یک سناریوی فرضی نیست، بلکه یک نگرانی بسیار واقعی است. این حوزه ای است که دائماً در حال تحول است و به همین دلیل، آگاه بودن و هوشیاری ضروری است.»
چک لیست امنیت شبکه – دانلود رایگان کتاب الکترونیکی
