Để tạo ra một dòng phần mềm độc hại hoàn toàn mới, Hacker sử dụng ChatGPT.

Kẻ xấu đang khai thác sức mạnh của chatbot AI nổi tiếng nhất thế giới để tạo ra các dòng phần mềm độc hại (malware) mới.

Công ty an ninh mạng WithSecure (Phần Lan) đã xác nhận rằng họ đã phát hiện ra các dòng phần mềm độc hại mới do ChatGPT tạo ra. Điều đặc biệt nguy hiểm là ChatGPT có thể tạo ra vô số biến thể phần mềm độc hại, khiến chúng khó bị phát hiện.

Với mục đích bảo vệ khỏi các mối đe mạng đa dạng, WithSecure là công ty an ninh mạng chuyên cung cấp các giải pháp và dịch vụ bảo mật. Công ty cung cấp thông tin tình báo về mối đe, đánh giá lỗ hổng, phản ứng sự cố và tư vấn bảo mật. Mục tiêu của WithSecure là giúp các tổ chức tăng cường khả năng bảo mật mạng và ngăn ngừa các hoạt động độc hại.

Những kẻ xấu chỉ cần cung cấp cho ChatGPT các ví dụ về mã phần mềm độc hại hiện có và hướng dẫn chatbot AI này tạo ra các biến thể mới dựa trên đó. Do đó, kẻ xấu có thể tạo ra các dòng mã độc mới mà không mất nhiều thời gian, nỗ lực và chuyên môn như trước đây.

"Trò chơi kết hợp giữa AI tốt và AI xấu"

Tin tức này phát hiện khi có rất nhiều cuộc thảo luận về việc điều chỉnh AI để ngăn không cho công nghệ này bị sử dụng cho mục đích xấu.

Không có quy định quản lý việc sử dụng ChatGPT kể từ khi nó được phát hành vào tháng 11.2022. Chatbot AI của OpenAI (Mỹ) đã bị lạm dụng để viết email và tạo file độc hại chỉ sau đó một tháng.

Trong mô hình ngôn ngữ lớn, một số biện pháp bảo vệ đã được áp dụng cụ thể để ngăn chặn việc thực hiện các lời gợi ý xấu xa, nhưng kẻ tấn công có thể vượt qua những biện pháp này.

Theo Juhani Hintikka, Giám đốc điều hành WithSecure, người nói với trang Infosecurity, phần mềm độc hại do kẻ xấu tạo thủ công thường được các nhà bảo vệ an ninh mạng sử dụng để tìm và loại bỏ phần mềm độc hại. Tuy nhiên, với sự sẵn có miễn phí của các công cụ AI mạnh mẽ như ChatGPT, tình thế đang thay đổi. Trước đây, các công cụ truy cập từ xa được sử dụng cho mục đích bất hợp pháp, và giờ đây AI cũng vậy.

Tim West, người đứng đầu bộ phận tình báo về mối đe tại WithSecure, bổ sung: "ChatGPT sẽ hỗ trợ kỹ thuật phần mềm cả điều tốt lẫn xấu. Nó là một công cụ hỗ trợ giúp giảm thiểu rào cản xâm nhập đối với các kẻ đe phần mềm độc hại.

Theo Juhani Hintikka, các email lừa đảo mà ChatGPT có thể viết thường được con người phát hiện. Việc ngăn chặn các trò lừa đảo như vậy trong tương lai gần sẽ khó khăn hơn khi mô hình ngôn ngữ lớn ngày càng trở nên tiên tiến hơn.

Những kẻ đe đang tái đầu tư và trở nên có tổ chức hơn, mở rộng hoạt động bằng cách thuê bên ngoài và phát triển hơn nữa hiểu biết về AI để thực hiện các cuộc tấn công thành công hơn, cùng với sự thành công của các cuộc tấn công ransomware ngày càng tăng với tốc độ đáng lo ngại.

Ransomware là một loại phần mềm độc hại mà kẻ tấn công sử dụng để mã hóa dữ liệu trên hệ thống của nạn nhân và yêu cầu tiền chuộc để giải mã dữ liệu. Khi hệ thống bị nhiễm ransomware, người dùng sẽ không thể truy cập hoặc sử dụng dữ liệu mà không có giải mã.

Khi nhìn vào bối cảnh an ninh mạng phía trước, Juhani Hintikka kết luận rằng: "Đây sẽ là trò chơi giữa AI tốt và AI xấu."

Chuyên gia lên dark web tìm kiếm các loại hacker lạm dụng ChatGPT để tấn công mạng một cách dễ dàng hơn

Nhà nghiên cứu ChatGPT hàng đầu tại công ty an ninh mạng Check Point (Israel) Sergey Shykevich đã chứng kiến tội phạm mạng khai thác sức mạnh của AI để tạo mã có thể được sử dụng trong một cuộc tấn công ransomware.

Vào tháng 12.2021, Đội của Sergey Shykevich bắt đầu điều tra khả năng AI có thể tiếp tay cho tội phạm mạng. Hack đã tạo ra các email lừa đảo và mã độc bằng cách sử dụng mô hình ngôn ngữ lớn của AI. Khi biết rằng ChatGPT có thể được sử dụng cho các mục đích bất hợp pháp, Sergey Shykevich đã bày tỏ ý định muốn xem liệu phát hiện của họ có phải là "lý thuyết" hay liệu có thể tìm thấy "những kẻ xấu đang sử dụng chatbot này trong thế giới thực hay không".

Đội của Sergey Shykevich đã chuyển sang dark web để xem chatbot này đang được sử dụng như thế nào vì rất khó để xác định liệu một email gây hại gửi đến ai đó có được viết bằng ChatGPT hay không.

Không thể tìm thấy trên các công cụ tìm kiếm phổ biến và yêu cầu phần mềm đặc biệt để truy cập, dark web là một thành phần của internet. Các hoạt động phi pháp và trái phép như buôn bán ma túy, vũ khí, bán dữ liệu cá nhân, mạng lưới tội phạm và các hoạt động bất hợp pháp khác thường được tạo ra bằng cách sử dụng dark web. Người dùng có thể duyệt web hoàn toàn ẩn danh và truy cập nội dung mà không bị chính phủ hoặc các tổ chức kiểm duyệt kiểm duyệt.

Họ đã phát hiện ra bằng chứng đầu tiên vào ngày 21.12.2022: Tội phạm mạng đang sử dụng ChatGPT để tạo một tập lệnh python có thể được sử dụng trong cuộc tấn công bằng phần mềm độc hại.

Theo Sergey Shykevich, mã có một số lỗi, nhưng phần lớn trong số đó là đúng. "Điều thú vị là những người đăng nó chưa từng phát triển bất cứ thứ gì trước đây", Sergey Shykevich nói.

Ngoài ra, Sergey Shykevich tuyên bố rằng ChatGPT và Codex sẽ "cho phép những người ít kinh nghiệm hơn được coi là nhà phát triển." Codex là một dịch vụ OpenAI có thể viết mã cho các nhà phát triển.

Việc lạm dụng ChatGPT khiến các chuyên gia an ninh mạng lo lắng vì họ nhận thấy tiềm năng của chatbot này trong hỗ trợ tấn công phishing (lừa đảo trực tuyến), malware và hacking (tìm kiếm và khai thác các lỗ hổng trong các hệ thống máy tính, mạng hoặc phần mềm để truy cập trái phép vào các tài nguyên hoặc thông tin của hệ thống đó).

Khi nói đến các cuộc tấn công phishing, ChatGPT có thể giúp tạo ra hàng chục email lừa đảo nhắm mục tiêu một cách dễ dàng miễn là đưa ra yêu cầu thích hợp, theo Justin Fier, Giám đốc Điều tra và Phân tích An ninh mạng tại công ty Darktrace, người đã chia sẻ với Insider.

"Với phishing, tất cả là về số lượng; hãy tưởng tượng 10.000 email được nhắm mục tiêu cao. Bây giờ, thay vì 100 lần nhấp tích cực, hacker có được 3.000 hoặc 4.000. Justin Fier đề cập đến số lượng người giả định có thể nhấp vào một email lừa đảo và yêu cầu người dùng cung cấp thông tin cá nhân, chẳng hạn như mật khẩu tài khoản ngân hàng.

"Một phim khoa học viễn tưởng"

Vào đầu tháng 2, Blackberry đã công bố một cuộc khảo sát từ 1.500 chuyên gia công nghệ thông tin, 74% trong số họ nói rằng họ lo lắng về việc ChatGPT hỗ trợ tội phạm mạng.

Cuộc khảo sát cũng cho thấy 71% nghĩ rằng ChatGPT có thể đã được các quốc gia sử dụng để tấn công các quốc gia khác bằng nỗ lực hacking và phishing.

Shishir Singh, Giám đốc Công nghệ của Bảo mật mạng tại BlackBerry, đã viết trong một thông cáo báo chí rằng mặc dù đã có nhiều bằng chứng cho thấy những người có ý định xấu đang thử nghiệm ChatGPT, nhưng trong năm nay, chúng ta sẽ thấy rằng những kẻ tấn công có khả năng sử dụng chatbot này hiệu quả hơn để thực hiện các mục đích độc hại.

Theo Shishir Singh, những lo ngại này bắt nguồn từ sự phát triển nhanh chóng của AI trong năm qua. Theo các chuyên gia, những tiến bộ trong các mô hình ngôn ngữ lớn đã nhanh hơn dự kiến và giờ đây chúng có thể bắt chước lời nói của con người thành thạo hơn.

Shishir Singh mô tả những sự đổi mới nhanh chóng như một thứ gì đó xuất hiện từ bộ phim khoa học viễn tưởng.

"Bất cứ điều gì đã thấy trong 9 đến 10 tháng qua, chúng ta từng chỉ thấy ở Hollywood," ông nhấn mạnh.

Tội phạm mạng khai thác ChatGPT

Các chuyên gia như cựu công tố viên liên bang Mỹ Edward McAndrew đang tự hỏi liệu các công ty có chịu trách nhiệm về những tội phạm này hay không khi tội phạm mạng bắt đầu thêm những thứ như ChatGPT vào bộ công cụ của chúng.

Theo Edward McAndrew, người hợp tác với Bộ Tư pháp Mỹ về điều tra tội phạm mạng, các công ty hỗ trợ những chatbot này có thể cũng phải chịu trách nhiệm nếu chúng khuyến khích ai đó phạm tội trên mạng.

Hầu hết các hãng công nghệ trích dẫn Điều 230 của Đạo luật về Khuôn phép trong giao tiếp năm 1996 khi xử lý nội dung bất hợp pháp hoặc tội phạm trên trang web của mình từ người dùng bên thứ ba. Theo luật, các nhà cung cấp trang web như Facebook hoặc Twitter không chịu trách nhiệm về phát ngôn của họ trên nền tảng.

Bởi vì bài phát ngôn đến từ chính ChatGPT, Edward McAndrew cho biết luật có thể không bảo vệ OpenAI khỏi các vụ kiện dân sự hoặc truy tố, mặc dù phiên bản mã nguồn mở có thể làm cho việc liên kết tội phạm mạng với OpenAI khó khăn hơn.

Gia đình của cô gái bị những kẻ khủng bố ISIS giết vào năm 2015 cũng đang thách thức trước án Tối cao Mỹ về phạm vi bảo vệ pháp lý cho các hãng công nghệ theo Điều 230. Gia đình này lập luận rằng Google phải chịu trách nhiệm pháp lý về thuật toán của họ khi hiển thị video cực đoan.

Theo Edward McAndrew, ChatGPT cũng có thể cung cấp "kho tàng thông tin" cho những người được giao nhiệm vụ thu thập bằng chứng cho những tội ác như vậy nếu họ có thể yêu cầu công ty như OpenAI đưa ra tài liệu.

"Đó là những câu hỏi thực sự thú vị, nhưng dành cho nhiều năm tới. Tội phạm mạng là một trong những người sớm nhất thích ứng với công nghệ mới, như chúng ta đã thấy từ khi Internet lần đầu tiên được sử dụng. Theo Edward McAndrew, chúng ta lại thấy điều đó, với rất nhiều công cụ AI.

Edward McAndrew cho biết ông nhìn thấy cuộc tranh luận về cách mà Hoa Kỳ và toàn bộ thế giới nói chung sẽ đặt ra các tiêu chuẩn cho các hãng AI và công nghệ để đối mặt với những câu hỏi này.

95% số người được hỏi về CNTT trong cuộc khảo sát của Blackberry nói rằng chính phủ phải chịu trách nhiệm tạo và thực hiện các quy định.

Theo Edward McAndrew, việc quản lý nó có thể gặp nhiều khó khăn vì không có cơ quan hoặc cấp chính phủ nào được giao độc quyền thiết lập các yêu cầu cho ngành công nghiệp AI hoặc các vấn đề về công nghệ AI vượt xa biên giới Mỹ.

"Tạo liên minh quốc tế và các tiêu chuẩn quốc tế về hành vi mạng sẽ là cần thiết. Theo tôi, nếu không có sẽ mất hàng thập kỷ để phát triển.

Công nghệ vẫn chưa tối ưu cho tội phạm mạng

Theo các chuyên gia, ChatGPT trả lời sai sót nhưng có vẻ đáng tin cậy, điều này có thể gây khó khăn cho tội phạm mạng. Khi cố gắng soạn thảo một email để bắt chước người khác, điều này có thể dẫn đến các vấn đề cho tội phạm mạng. Các lỗi cần được sửa chữa trong đoạn mã mà Sergey Shykevich và các đồng nghiệp của ông tìm thấy trên dark web trước khi có thể hỗ trợ cho một vụ lừa đảo.

ChatGPT tiếp tục triển khai các biện pháp bảo vệ để ngăn chặn hoạt động bất hợp pháp, nhưng có thể vượt qua các biện pháp này bằng cách sử dụng tập lệnh phù hợp.

Theo Sergey Shykevich, một số tội phạm mạng đang dựa vào các mô hình API của ChatGPT, các phiên bản nguồn mở của ứng dụng không có các giới hạn nội dung giống như giao diện người dùng web. Ông cũng khẳng định rằng ChatGPT không thể hỗ trợ tạo phần mềm độc hại tinh vi hoặc trang web giả mạo, chẳng hạn như PayPal, một ngân hàng nổi tiếng vào thời điểm này.

Theo Sergey Shykevich, một ngày nào đó điều này có thể trở thành hiện thực vì cuộc chạy đua AI do những gã khổng lồ công nghệ tạo ra thúc đẩy sự phát triển của các chatbot tốt hơn.

"Tôi quan tâm nhiều hơn đến tương lai và có vẻ như bây giờ tương lai không còn là 4–5 năm nữa mà là 1 hoặc 2 năm nữa," ông nhận định.

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống