Ludzie zachłysnęli się możliwościami oferowanymi przez ChatGPT w zakresie konwersacji, pisania wypracowań czy rozwiązywania zadań matematycznych. Natomiast dostawcy systemów bezpieczeństwa oraz szefowie działów IT patrzą na generatywną sztuczną inteligencję pod kątem jej wykorzystania i zagrożeń, jakie za sobą niesie. Część środowiska zachwala zalety tej technologii, twierdząc, że wesprze działania analityków poprzez interpretację i czyszczenie danych pochodzących z różnych źródeł. Z drugiej strony niektórzy CISO (Chief Information Security Officer) dostrzegają wprawdzie potencjał drzemiący w tej technologii, ale nie mają przekonania, czy wnosi ona do ich branży rzeczywiście coś nowego. Istnieje też pewna grupa cyberspeców, którzy nie ufają „myślącym” algorytmom i mają do tego konkretne, uzasadnione podstawy.

Jednym z nich jest Justin Shattuck, CISO w instytucji ubezpieczeniowej Resilience. Jak mówi: „Obecnie przyglądamy się każdemu uzyskanemu rezultatowi i próbujemy zrozumieć, czy możemy zaufać nie tylko wykonywanej przez AI pracy, czyli źródłom z jakich korzysta, ale też samemu wynikowi. Wiadomo, że generatywne systemy sztucznej inteligencji dostarczają odpowiedzi niedokładne lub wprowadzające w błąd”. Jednak Shattuck dostrzega też zalety tej technologii. Kierowany przez niego zespół prowadził eksperymenty z generatywną sztuczną inteligencją, analizując informacje o bezpieczeństwie generowane przez systemy Resilience. Okazało się, że AI potrafi identyfikować interesujące zestawy danych, które mogą być pomijane przez analityków przeczesujących stosy alertów.

Wstrzemięźliwość wobec aplikacji generatywnych wykazują też amerykańscy urzędnicy państwowi. Ich zdaniem jest zbyt wcześnie, aby ocenić rolę chatbotów w systemach zabezpieczających sieci i dane. Ich zdaniem prawdziwy potencjał technologii nie został jeszcze do końca uwolniony. „Gdzie AI będzie za pół roku i jak to zmieni sytuację? Spójrzcie jakie wielkie zmiany zaszły w ciągu ostatnich trzech miesięcy” – komentuje John Katko, były kongresmen z Nowego Yorku.

Jednakże wygląda na to, że producenci systemów bezpieczeństwa IT, a także oprogramowania do ochrony danych, będą skazani na AI. Zdaniem Lucii Milică Stacy, CISO w firmie Proofpoint zajmującej się cyberbezpieczeństwem, szybkość rozwoju i publiczna fascynacja technologią doprowadzi do wysypu generatywnych wdrożeń sztucznej inteligencji przez dostawców technologii. Czasami będzie to wynikiem komercyjnego imperatywu, ale też obaw, bo jeśli dostawcy systemów ochronnych nie wykorzystają tego rodzaju narzędzi, to uczynią to hakerzy.

Wsparcie dla oszustów

O ile dostawcy systemów bezpieczeństwa IT mają wątpliwości co do skuteczności chatbotów występujących w roli ich sprzymierzeńców, o tyle hakerzy już ich używają. ChatGPT i jego kuzyni stanowią nieodzowną pomoc przy opracowywaniu wiadomości phishingowych. Narzędzia generują teksty pozbawione jakichkolwiek błędów stylistycznych i ortograficznych, tym samym zwiększając szanse na „złowienie” większej liczby ofiar. Według badań przeprowadzonych przez Darktrace liczba wiadomości spamowych wysyłanych w minionym roku wzrosła właśnie dzięki ulepszonej gramatyce i składni języka angielskiego. Firma sugeruje, że tak drastyczny skok jest pokłosiem wykorzystania przez oszustów generatywnych aplikacji AI do tworzenia swoich kampanii spamowych.

Darktrace poinformował w niedawnym raporcie (z kwietnia br.), że zaobserwowano 135 proc. wzrost liczby wiadomości spamowych do klientów między styczniem a lutym, przy zastosowaniu znacznie ulepszonej gramatyki i składni języka angielskiego. Zdaniem firmy zmiana była spowodowana tym, że hakerzy używali generatywnych aplikacji AI do tworzenia swoich kampanii.

Istnieje również inny rodzaj zagrożenia, na które zwróciły uwagę wielkie koncerny, takie jak: Samsung, Apple, JPMorgan Chase i Verizon Communications. Wymienione firmy zabroniły lub ograniczyły pracownikom korzystanie z ChatGPT i podobnych programów. Środki ostrożności wprowadzono w związku z obawami, że pracownicy mogą dzielić się z chatbotami poufnymi informacjami. Specjaliści ds. cyberbezpieczeństwa zalecają szkolenia personelu, a także instalowanie cyfrowych filtrów oraz kontroli, które mają zapobiec przenikaniu danych do aplikacji generatywnych. Zresztą doszukują się analogii z wysyłaniem e-maili z poufnymi informacjami. Wraz z upowszechnieniem się chatbotów ryzyko wycieku cennych danych będzie bardzo podobne.

Tekst powstał na podstawie artykułu z The Wall Street Journal.