Ormai ChatGPT, il chatbot di Intelligenza Artificiale creato da OpenAI, è diventato virale e tutti ne parlano. Ma oltre alle grandi opportunità che si presentano, come sempre, ci sono anche dei grandi rischi. Eccone alcuni.
Ormai non si parla d’altro, da circa un mese, se non di Intelligenza Artificiale e ChatGPT. E questo perché il software, realizzato da Open AI, l’organizzazione fondata da Elon Musk e Sam Altman, ha lanciato il software che permette una interazione diretta con l’essere umano, rispondendo per iscritto a esigenze concrete. Da quel momento il fenomeno è diventato virale e tutti ne parlano.
Basta dare un piccolo monitoraggio con Google Trends per sincerarsi di quanto sia cresciuto l’interesse verso ChatGPT.
Per non parlare delle notizie più recenti che parlano di Microsoft pronta ad investire 10 miliardi di dollari in Open AI per non mancare la grande occasione di implementare l’intelligenza artificiale all’interno di Bing, il suo motore di ricerca.
Eppure, il grande fisico e matematico Stephen Hawking sosteneva che una intelligenza artificiale molto evoluta avrebbe potuto mettere a rischio la stessa esistenza umana, “dobbiamo far fare all’AI quello che vogliamo che faccia“.
E sulla base di questo monito Elon Musk e Sam Altman hanno dato vita ad Open AI nel tentativo di dare vita ad una Intelligenza Artificiale più controllabile e gestibile.
Un grande intento, non c’è che dire, ma, come ogni cosa, anche questa modalità presenta dei rischi e dei pericoli, oltre ai grandi vantaggi.
Ci soffermiamo proprio su alcuni pericoli che iniziano ad essere rilevati, perché al momento ChatGPT può essere usato da chiunque. Pensate che a dicembre, al suo lancio, in soli 5 giorni sono stati registrati oltre 1 milioni di utenti, un risultato straordinario. Tanto straordinario se pensate che Facebook ci ha impiegato 10 mesi prima di arrivare al milione di utenti e Netflix, invece, tre anni. Certo, sembrano esempi lontani, ma era giusto per dare la dimensione del clamore mediatico che si è creato attorno a Chat GPT.
Ora, questo tipo di modalità di scrittura automatizzata, attraverso una intelligenza artificiale, come ChatGPT sta interessando proprio tutti, inclusi hacker e cyber criminali in generale.
Un aspetto, questo, che comincia ad essere monitorato dalle agenzie che si occupano di cybersecurity perché sono già in atto azioni malevoli che potrebbero, più di quanto non lo sia già, trarre l’utente in inganno.
Gli esempi sono già attivi attraverso trolling sui social media, la società WithSecure durante una sua indagine ha creato un account di un’azienda inventata, con relativo account del CEO Kenneth White, istruendo l’intelligenza artificiale a scrivere post sui social media al fine di attaccare il CEO a livello personale, minacce incluse.
Ma questo non è che un piccolo esempio di ciò che i criminali digitali potrebbero creare usando un software come Chat GPT. Basti pensare a truffe sulle criptovalute organizzate in maniera da sembrare credibili, con account fake che, grazie all’IA, presentano contenuti persuasivi e convincenti.
Anche Check Point Research (CPR), la divisione Threat Intelligence di Check Point Software, sta osservando i primi casi di criminali informatici e utenti che utilizzano ChatGPT per sviluppare tool pericolosi. E i ricercatori di Check Point Software segnalano che gli hacker potrebbero utilizzare ChatGPT e Codex di OpenAI per eseguire attacchi mirati. Per dimostrarlo, CPR ha utilizzato ChatGPT e Codex per produrre e-mail e codici malevoli e una catena di infezione in grado di colpire i computer degli utenti.
Con questa modalità, CPR è stato in grado di creare una e-mail, con un documento Excel allegato, contenente codice dannoso in grado di scaricare reverse shell. Gli attacchi di reverse shell puntano a connettersi a un computer e a reindirizzare le connessioni di input e output della shell del sistema di destinazione, in modo che l’aggressore possa accedervi da remoto.
Questi gli step eseguiti dai i ricercatori di CPR:
- Chiedere a ChatGPT di impersonare una società di hosting
- Chiedere a ChatGPT di ripetere la procedura, creando un’e-mail di phishing con un allegato Excel malevolo
- Chiedere a ChatGPT di creare un codice VBA dannoso in un documento Excel
Codice di Open AI
CPR è stato anche in grado di generare codice malevolo utilizzando Codex, ponendo richieste come:
- Eseguire uno script di shell inversa su una macchina Windows e connettersi a un indirizzo IP specifico.
- Verificare se l’URL è vulnerabile a SQL injection accedendovi come amministratore.
- Scrivere uno script python che esegua una scansione completa della porta sul computer di destinazione.
- Conseguentemente il codice dannoso è stato generato da Codex.
“ChatGPT può alterare significativamente il panorama delle minacce informatiche“, dice Sergey Shykevich, Threat Intelligence Group Manager at Check Point Software. “Ora chiunque abbia risorse minime e zero conoscenze nel codice, può facilmente sfruttarlo a scapito della sua immaginazione. Per mettere in guardia il pubblico, abbiamo dimostrato quanto sia facile utilizzare la combinazione di ChatGPT e Codex per creare e-mail e codice dannosi. Credo che queste tecnologie AI rappresentino un altro passo avanti nella pericolosa evoluzione di capacità informatiche sempre più sofisticate ed efficaci“.
E ancora, i ricercatori CPR hanno scoperto che il 29 dicembre 2022, su un popolare forum di hacking clandestino, è apparso un thread intitolato “ChatGPT – Benefits of Malware“. L’autore del thread ha rivelato che stava sperimentando ChatGPT per ricreare dei malware e le tecniche descritte nelle pubblicazioni di ricerca e negli articoli sui malware più comuni.
In realtà, anche se questo individuo potrebbe essere un aggressore molto tech, questi post sembravano dimostrare ai criminali informatici meno capaci tecnicamente come utilizzare ChatGPT per scopi dannosi, con esempi reali che possono utilizzare immediatamente.
Il 21 dicembre 2022, un aggressore soprannominato USDoD ha pubblicato uno script Python, che ha sottolineato essere il “primo script che abbia mai creato“. Quando un altro criminale informatico ha commentato che lo stile del codice assomiglia a quello di OpenAI, USDoD ha confermato che OpenAI gli ha dato una “bella mano a finire lo script con una bella portata“.
Ciò potrebbe significare che i potenziali criminali informatici che hanno poche o nessuna capacità di sviluppo potrebbero sfruttare ChatGPT per sviluppare tool dannosi e diventare nuovi criminali informatici a tutti gli effetti con capacità tecniche.
Ecco, questo lo scenario, pericoloso, che non va assolutamente sottovalutato. Val la pena quindi abbracciare queste nuove innovazioni, sapendo però che le stesse possono nascondere pericoli poco conosciuti o, addirittura, amplificarli, rendendo tutto molto più complicato da gestire.
Ovviamente, questa non è che una parte e ci ritorneremo sicuramente più avanti.
Immagine di copertina: ChatGPT su schermo pc, foto di @rokas91 - Depositphotos
Il 6 giugno 2012 LinkedIn, il più noto Social Network professionale del mondo, subisce un grave attacco informatico: vengono decriptate sei milioni e mezzo di password, circa il 5% di tutti account registrati. Le password rubate vengono pubblicate su un sito russo e il giorno successivo l’azienda non può che confermare il furto di identità. Chi ne è stato vittima deve modificare la parola di accesso per poter rientrare nel Social Network. Il mese precedente, un tentativo di attacco era avvenuto su Twitter e diverse migliaia di utenti erano stati oggetto dell’azione degli hacker. Sulle pagine dei profili violati risultavano tweet mai scritti e frasi come “how to make extra money”, che rimandavano a link esterni. Anche in questo caso, il Social Network aveva chiesto agli utenti di resettare la password.