Ngành an ninh mạng đã thấy bằng chứng về việc tội phạm mạng sử dụng ChatGPT để thực hiện hành vi phạm pháp…
Cho dù đó là viết luận hay phân tích dữ liệu, ChatGPT có thể được sử dụng để giảm bớt khối lượng công việc của một người. Điều tương tự cũng xảy ra với tội phạm mạng.
Sergey Shykevich, nhà nghiên cứu ChatGPT hàng đầu tại công ty an ninh mạng Checkpoint security đã chứng kiến tội phạm mạng khai thác sức mạnh của AI để tạo mã có thể được sử dụng trong một cuộc tấn công ransomware.
Nhóm của Shykevich bắt đầu nghiên cứu khả năng AI có thể tiếp tay cho tội phạm mạng vào tháng 12 năm 2021. Bằng cách sử dụng mô hình ngôn ngữ lớn của AI, họ đã tạo ra các email lừa đảo và mã độc. ChatGPT có thể được sử dụng cho các mục đích bất hợp pháp, ông Shykevich cho biết nhóm muốn xem liệu phát hiện của họ có phải chỉ là "lý thuyết" hay liệu họ có thể tìm thấy "những kẻ xấu đang sử dụng nó trong trên thực tế hay không".
Vì rất khó để biết liệu một email độc hại được gửi đến hộp thư đến của ai đó có được viết bằng ChatGPT hay không, nên nhóm của ông đã chuyển sang dark web để xem ứng dụng này đang được sử dụng như thế nào.
ChatGPT có thể được tội phạm mạng lợi dụng để thực hiện hành vi phạm pháp
Vào ngày 21/12, họ đã tìm thấy bằng chứng đầu tiên. Tội phạm mạng đang sử dụng chatbot để tạo một tập lệnh python có thể được sử dụng trong một cuộc tấn công bằng phần mềm độc hại. Sergey Shykevich nói rằng mã có một số lỗi, nhưng phần lớn là chính xác.
"Điều thú vị là những người đăng nó chưa từng phát triển bất cứ thứ gì trước đây," ông nói.
Ông Shykevich nói rằng ChatGPT và Codex, một dịch vụ OpenAI có thể viết mã cho các nhà phát triển, sẽ "cho phép những người ít kinh nghiệm hơn" xây dựng nên các phần mềm độc hại.
Việc lạm dụng ChatGPT đang khiến các chuyên gia an ninh mạng lo lắng. Họ nhận thấy tiềm năng chatbot hỗ trợ trong các cuộc tấn công lừa đảo, phần mềm độc hại và hack.
Justin Fier, giám đốc Cyber Intelligence & Analytics tại Darktrace, một công ty an ninh mạng, cho biết khi nói đến các cuộc tấn công qua mạng, ChatGPT có thể giúp mọi người tạo ra hàng chục email lừa đảo được nhắm mục tiêu một cách dễ dàng, miễn là nó được tạo ra bằng cách khai thác các lỗ hổng của ChatGPT.
"Đối với việc lừa đảo, số lượng là điều quyết định. Hãy tưởng tượng 10.000 email nhắm tới các mục tiêu lừa đảo. Và bây giờ thay vì 100 lần nhấp, tôi có 3.000 hoặc 4.000", Fier cho biết khi đề cập đến số lượng người giả định có thể nhấp vào một email lừa đảo, được sử dụng để yêu cầu người dùng cung cấp thông tin cá nhân như mật khẩu ngân hàng.
Đầu tháng 2, công ty an ninh mạng Blackberry đã công bố một cuộc khảo sát từ 1.500 chuyên gia công nghệ thông tin. 74% trong số họ cho biết họ lo lắng về việc ChatGPT hỗ trợ tội phạm mạng. Cuộc khảo sát cũng cho thấy 71% tin rằng ChatGPT có thể đã được các quốc gia sử dụng để tấn công các quốc gia khác thông qua các nỗ lực hack và lừa đảo.
Shishir Singh, Giám đốc Công nghệ về An ninh mạng tại BlackBerry, đã viết trong một thông cáo báo chí: "Đã có tài liệu rõ ràng rằng những người có mục đích xấu đang thử nghiệm với phần mềm này, nhưng chúng tôi tin rằng tin tặc sẽ xử lý tốt hơn nhiều để sử dụng ChatGPT thành công cho các mục đích bất chính trong thời gian tới.”
Các công ty công nghệ có thể sẽ phải chịu trách nhiệm pháp lý cho hành vi phạm pháp được thực hiện nhờ sự hỗ trợ của chatbot AI
Ông nói rằng những lo ngại này bắt nguồn từ sự tiến bộ nhanh chóng của AI trong năm qua. Các chuyên gia đã nói rằng những tiến bộ trong các mô hình ngôn ngữ lớn, những mô hình hiện đã thành thạo hơn trong việc bắt chước lời nói của con người, đã tiến triển nhanh hơn dự kiến.
Khi tội phạm mạng bắt đầu thêm những công nghệ như ChatGPT vào bộ công cụ của chúng, các chuyên gia như cựu công tố viên liên bang Edward McAndrew đang tự hỏi liệu các công ty có chịu trách nhiệm về những tội ác này hay không.
McAndrew, người đã làm việc với Bộ Tư pháp điều tra tội phạm mạng đã chỉ ra rằng nếu ChatGPT hoặc một chatbot tương tự hướng dẫn ai đó phạm tội an ninh mạng, thì đó có thể là trách nhiệm pháp lý của công ty xây dựng các chatbot này.
Khi xử lý nội dung bất hợp pháp trên trang web của họ từ người dùng bên thứ ba, hầu hết các công ty công nghệ đều trích dẫn Mục 230 của Đạo luật về khuôn phép trong giao tiếp năm 1996. Đạo luật quy định rằng các nhà cung cấp trang web cho phép mọi người đăng nội dung như Facebook hoặc Twitter mà không chịu trách nhiệm về nội dung của người dùng trên nền tảng của họ.
Tuy nhiên, khi nội dung đến từ chính chatbot, McAndrew cho biết luật có thể không bảo vệ OpenAI khỏi các vụ kiện dân sự hoặc truy tố — mặc dù các phiên bản nguồn mở có thể khiến việc ràng buộc tội phạm mạng trở lại với OpenAI trở nên khó khăn hơn.