Üretken yapay zekanın (AI) bugünlerde tüm öfkesi haline gelmesiyle, teknolojinin kötü niyetli aktörler tarafından kendi avantajlarına göre yeniden tasarlanarak hızlandırılmış siber suçlara yol açması şaşırtıcı olmayabilir.
SlashNext adlı yeni bir üretken yapay zeka siber suç aracının bulgularına göre SolucanGPT düşmanların gelişmiş kimlik avı ve iş e-postası ele geçirme (BEC) saldırıları başlatmasının bir yolu olarak yer altı forumlarında reklamı yapıldı.
Güvenlik araştırmacısı Daniel Kelley, “Bu araç, kendisini özellikle kötü amaçlı etkinlikler için tasarlanmış GPT modellerine alternatif bir kara şapka olarak sunuyor” dedi. “Siber suçlular, alıcıya göre kişiselleştirilmiş son derece ikna edici sahte e-postaların oluşturulmasını otomatikleştirmek için bu tür bir teknolojiyi kullanabilir ve böylece saldırının başarı şansını artırabilir.”
Yazılımın yazarı, “her türlü yasa dışı şeyi yapmanıza izin veren” “tanınmış ChatGPT’nin en büyük düşmanı” olarak tanımladı.
Kötü bir aktörün elinde, WormGPT gibi araçlar güçlü bir silah olabilir, özellikle OpenAI ChatGPT ve Google Bard, inandırıcı kimlik avı e-postaları üretmek ve kötü amaçlı kod oluşturmak için büyük dil modellerinin (LLM’ler) kötüye kullanılmasıyla mücadele etmek için giderek daha fazla adım atıyor.
Check Point bu hafta yayınladığı bir raporda, “Bard’ın siber güvenlik alanındaki kötüye kullanım önleyici kısıtlayıcıları, ChatGPT’ye kıyasla önemli ölçüde daha düşük” dedi. “Sonuç olarak, Bard’ın yeteneklerini kullanarak kötü amaçlı içerik oluşturmak çok daha kolay.”
Bu Şubat ayının başlarında İsrailli siber güvenlik firması, siber suçluların ChatGPT’nin API’sinden yararlanarak, çalınan premium hesapları takas ederek ve devasa e-posta adresleri ve şifre listelerini kullanarak ChatGPT hesaplarına sızmak için kaba kuvvet yazılımları satarak ChatGPT’nin kısıtlamalarını nasıl aştığını açıkladı. .
WormGPT’nin herhangi bir etik sınır olmaksızın çalışması, üretken yapay zekanın oluşturduğu tehdidin altını çiziyor ve hatta acemi siber suçluların bunu yapacak teknik donanıma sahip olmadan hızlı ve geniş ölçekte saldırılar başlatmasına izin veriyor.
İçeriden Gelen Tehditlere Karşı Kalkan: SaaS Güvenlik Duruş Yönetiminde Ustalaşın
İçeriden gelen tehditler konusunda endişeli misiniz? Seni koruduk! SaaS Güvenlik Duruş Yönetimi ile pratik stratejileri ve proaktif güvenliğin sırlarını keşfetmek için bu web seminerine katılın.
Bugün katıl
İşleri daha da kötüleştiren tehdit aktörleri, ChatGPT için “jailbreak”leri teşvik ediyor, aracı hassas bilgileri ifşa etmeyi, uygunsuz içerik üretmeyi ve zararlı kod yürütmeyi içerebilecek çıktılar üretmeye yönlendirmek için tasarlanmış özel istemler ve girdiler tasarlıyor.
Kelley, “Üretken yapay zeka, kusursuz dilbilgisi içeren e-postalar oluşturarak bunların meşru görünmesini sağlayabilir ve şüpheli olarak işaretlenme olasılığını azaltabilir” dedi.
“Üretken yapay zeka kullanımı, karmaşık BEC saldırılarının yürütülmesini demokratikleştiriyor. Sınırlı becerilere sahip saldırganlar bile bu teknolojiyi kullanabilir ve bu da onu daha geniş bir siber suçlu yelpazesi için erişilebilir bir araç haline getirir.”
Açıklama, Mithril Security’den araştırmacıların, GPT-J-6B olarak bilinen mevcut bir açık kaynaklı AI modelini “ameliyatla” değiştirerek dezenformasyon yaymasını sağlaması ve Hugging Face gibi halka açık bir depoya yüklemesi ve ardından diğer uygulamalara entegre edilmesiyle geldi. LLM tedarik zinciri zehirlenmesi denen şeye.
PoisonGPT olarak adlandırılan tekniğin başarısı, lobotomize modelin bilinen bir şirketin kimliğine bürünen bir ad kullanılarak yüklenmesi ön koşuluna dayanıyor; bu durumda, GPT-J’nin arkasındaki şirket olan EleutherAI’nin yazım hatası yapılmış bir sürümü.