Kasım 2023’te OpenAI, herkesin GPT modellerinin özelleştirilmiş sürümlerini oluşturması için GPT’leri herkese açık olarak yayınladı. Farklı amaçlar için birkaç yeni özelleştirilmiş GPT oluşturuldu. Ancak diğer yandan tehdit aktörleri, çeşitli kötü amaçlı faaliyetler gerçekleştirmek üzere kendi GPT sürümlerini oluşturmak için bu genel GPT modelini de kullanabilirler.
Araştırmacılar, siber suçluların sohbet mesajları ve şifreler gibi kullanıcı bilgilerini çalma veya belirli sohbet istekleri aracılığıyla kötü amaçlı kod oluşturma kolaylığını göstermek için yeni bir GPT geliştirdi.
Hırsız GPT’si
Bu yeni kötü amaçlı ChatGPT aracısı, kullanıcıların sohbet mesajlarını üçüncü taraf bir sunucuya iletmek ve kullanıcı adı ve şifre gibi hassas bilgileri istemek için oluşturuldu.
ChatGPT, verilerin üçüncü taraf bir sunucuya gönderilmesini gerektiren herhangi bir web sitesinden görseller yüklediğinden bu mümkün oldu. Ayrıca GPT, kullanıcıdan bilgi istemeye yönelik talimatlar da içerebilir ve GPT’nin yapılandırmasına bağlı olarak bu bilgiyi herhangi bir yere gönderebilir.
Yeni demo GPT, Thief GPT olarak adlandırıldı ve kullanıcıya sorular sorarak onu gizlice üçüncü taraf bir sunucuya gönderme yeteneğine sahipti. Ancak bunu kullanıcılara yayınlarken, isteği reddeden belirli yönergeler vardı.
Belgelere göre ChatGPT, içerik oluşturucular için üç tür yayınlamaya izin veriyor: yalnızca ben (varsayılan), Bağlantısı olan herkes ve Herkese açık. Ancak araştırmacıların üzerinde “Çalmak” ve “Kötü niyetli” kelimeleri bulunması nedeniyle “marka ve kullanım” kurallarını ihlal ettiği ve sonuçta reddedildiği ortaya çıktı.
Daha sonra hızla düzeltildi ve GPT mağazası tarafından kabul edildi. Bu, kötü niyetli aktörlerin kamuya açık bu GPT kodunu kötü amaçlarla kullanma ihtimalinin olduğu sonucuna varılmasına yol açtı.
Ayrıca yöntem, kullanım ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan tam bir rapor yayınlandı.