Hervé Henry
- L’industrie de la cybersécurité voit déjà des preuves de l’utilisation de ChatGPT par des criminels
- ChatGPT peut générer rapidement des e-mails de phishing ciblés ou du code malveillant pour les attaques de logiciels malveillants
- Les sociétés d’intelligence artificielle pourraient être tenues pour responsables si des chatbots conseillent des criminels, car or truck l’article 230 peut ne pas s’appliquer
Qu’il s’agisse de rédiger des essais ou d’analyser des données, ChatGPT peut être utilisé pour alléger la demand de travail d’une personne. Cela vaut aussi pour les cybercriminels.
Sergey Shykevich, chercheur principal de ChatGPT au sein de la société de cybersécurité Checkpoint protection, a déjà vu des cybercriminels exploiter le pouvoir de l’IA pour créer du code pouvant être utilisé dans une attaque de ransomware.
L’équipe de Shykevich a commencé à étudier le potentiel de l’IA à se prêter aux cybercrimes en décembre 2021. En utilisant le grand modèle de langage de l’IA, ils ont créé des e-mails de phishing et du code malveillant. Comme il est devenu clair que ChatGPT pouvait être utilisé à des fins illégales, Shykevich a déclaré à Insider que l’équipe voulait voir si leurs découvertes étaient “théoriques” ou si elles pouvaient trouver “les méchants qui l’utilisaient dans la nature”.
Parce qu’il est difficile de dire si un e-mail nuisible envoyé dans la boîte de réception de quelqu’un a été écrit avec ChatGPT, son équipe s’est tournée vers le darkish world wide web pour voir comment l’application était utilisée.
Le 21 décembre, ils ont trouvé leur leading élément de preuve : les cybercriminels utilisaient le chatbot pour créer un script python qui pourrait être utilisé dans une attaque de malware. Le code comportait quelques erreurs, a déclaré Shykevich, mais une grande partie était correcte.
“Ce qui est intéressant, c’est que ces gars qui l’ont posté n’avaient jamais rien développé auparavant”, a-t-il déclaré.
Shykevich a déclaré que ChatGPT et Codex, un support OpenAI qui peut écrire du code pour les développeurs, “permettront aux personnes moins expérimentées d’être des développeurs présumés”.
L’utilisation abusive de ChatGPT – qui alimente désormais le nouveau chatbot déjà troublant de Bing – inquiète les industry experts en cybersécurité, qui voient le potentiel des chatbots pour aider les attaques de phishing, de logiciels malveillants et de piratage.
Justin Fier, directeur de Cyber Intelligence & Analytics chez Darktrace, une société de cybersécurité, a déclaré à Insider qu’en ce qui concerne les attaques de phishing, la barrière à l’entrée est déjà faible, mais ChatGPT pourrait simplifier la création efficace de dizaines d’e-mails frauduleux ciblés – tant qu’ils élaborent de bonnes invites.
“Pour le phishing, tout est une query de quantity – imaginez 10 000 e-mails, très ciblés. Et maintenant, au lieu de 100 clics positifs, j’en ai trois ou 4 000”, a déclaré Fier, faisant référence à un nombre hypothétique de personnes susceptibles de cliquer sur un e-mail de phishing., qui est utilisé pour inciter les utilisateurs à donner des informations personnelles, telles que des mots de passe bancaires. “C’est énorme, et tout tourne autour de cet objectif.”
Un “film de science-fiction”
Début février, la société de cybersécurité Blackberry a publié une enquête auprès de 1 500 professionals en technologie de l’information, dont 74 % ont déclaré qu’ils craignaient que ChatGPT ne contribue à la cybercriminalité.
L’enquête a également révélé que 71% pensaient que ChatGPT était peut-être déjà utilisé par les États-nations pour attaquer d’autres pays par le biais de tentatives de piratage et de phishing.
“Il a été bien documenté que des personnes ayant des intentions malveillantes testent les eaux mais, au cours de cette année, nous nous attendons à voir des pirates informatiques mieux comprendre remark utiliser ChatGPT avec succès à des fins néfastes”, a déclaré Shishir Singh, directeur de la technologie. de la cybersécurité chez BlackBerry, a écrit dans un communiqué de presse.
Singh a déclaré à Insider que ces craintes découlaient des progrès rapides de l’IA au cours de la dernière année. Les authorities ont déclaré que les progrès dans les grands modèles de langage – qui sont désormais in addition aptes à imiter la parole humaine – ont progressé as well as rapidement que prévu.
Singh a décrit les improvements rapides comme quelque selected d’un “film de science-fiction”.
“Tout ce que nous avons vu au cours des 9 à 10 derniers mois, nous ne l’avons vu qu’à Hollywood”, a déclaré Singh..
Les utilisations de la cybercriminalité pourraient être un handicap pour Open up AI
Alors que les cybercriminels commencent à ajouter des choses comme ChatGPT à leur boîte à outils, des industry experts comme l’ancien procureur fédéral Edward McAndrew se demandent si les entreprises assumeraient une component de responsabilité dans ces crimes.
Par exemple, McAndrew, qui a travaillé avec le ministère de la Justice enquêtant sur la cybercriminalité, a souligné que si ChatGPT, ou un chatbot similaire, conseillait à quelqu’un de commettre un cybercrime, cela pourrait être une responsabilité pour les entreprises facilitant ces chatbots.
En traitant du contenu illégal ou criminel sur leurs sites provenant d’utilisateurs tiers, la plupart des entreprises technologiques citent l’article 230 de la Communications Decency Act de 1996. La loi stipule que les fournisseurs de web-sites qui permettent aux gens de publier du contenu – comme Facebook ou Twitter – sont pas responsable du discours sur leurs plateformes.
Cependant, comme le discours provient du chatbot lui-même, McAndrew a déclaré que la loi ne protégerait peut-être pas OpenAI des poursuites civiles ou des poursuites – bien que les versions open resource pourraient rendre plus difficile le lien entre les cybercrimes et OpenAI.
La portée des protections juridiques des entreprises technologiques en vertu de l’article 230 est également contestée cette semaine devant la Cour suprême par la famille d’une femme tuée par des terroristes de l’EI en 2015. La famille fait valoir que Google devrait être tenu responsable de son algorithme faisant la advertising de vidéos extrémistes.
McAndrew a également déclaré que ChatGPT pourrait également fournir un “trésor d’informations” pour ceux qui sont chargés de rassembler des preuves de tels crimes s’ils étaient en mesure d’assigner à comparaître des entreprises comme OpenAI.
“Ce sont des concerns vraiment intéressantes qui sont à des années”, a déclaré McAndrew, “mais comme nous le voyons, c’est vrai depuis l’aube d’Internet, les criminels sont parmi les premiers à les adopter. Et nous le voyons à nouveau, avec beaucoup des outils d’IA.”
Experience à ces thoughts, McAndrew a déclaré qu’il envisageait un débat politique sur la manière dont les États-Unis – et le monde en général – établiront des paramètres pour les entreprises d’IA et de technologie.
Dans l’enquête Blackberry, 95 % des informaticiens interrogés ont déclaré que les gouvernements devraient être responsables de la création et de la mise en œuvre des réglementations.
McAndrew a déclaré que la tâche de le réglementer peut être difficile, car il n’y a pas une agence ou un niveau de gouvernement exclusivement chargé de créer des mandats pour l’industrie de l’IA, et que la concern de la technologie de l’IA dépasse les frontières américaines.
“Nous allons devoir avoir des coalitions internationales et des normes internationales autour du cyber-comportement, et je m’attends à ce que cela prenne des décennies à se développer si nous sommes un jour en mesure de le développer.”
La technologie n’est toujours pas parfaite pour les cybercriminels
Une chose à propos de ChatGPT qui pourrait rendre la cybercriminalité plus difficile est qu’il est connu pour être erroné en toute confiance – ce qui pourrait poser un problème pour un cybercriminel essayant de rédiger un e-mail destiné à imiter quelqu’un d’autre, ont déclaré des authorities à Insider. Dans le code que Shykevich et ses collègues ont découvert sur le dark web, les erreurs devaient être corrigées avant de pouvoir contribuer à une arnaque.
De as well as, ChatGPT continue de mettre en location des barrières de sécurité pour dissuader les activités illégales, bien que ces barrières de sécurité puissent souvent être contournées avec le bon script. Shykevich a souligné que certains cybercriminels se penchaient désormais sur les modèles d’API de ChatGPT – des variations open up source de l’application qui n’ont pas les mêmes restrictions de contenu que l’interface utilisateur Internet.
Shykevich a également déclaré qu’à ce stade, ChatGPT ne peut pas aider à créer des logiciels malveillants sophistiqués ou à créer de faux websites World-wide-web qui semblent, par exemple, être le internet site Internet d’une banque de premier approach.
Cependant, cela pourrait un jour devenir une réalité automobile la class aux armements de l’IA créée par les géants de la technologie pourrait accélérer le développement de meilleurs chatbots, a déclaré Shykevich à Insider.
“Je suis furthermore préoccupé par l’avenir et il semble maintenant que l’avenir n’est pas dans 4-5 ans mais plutôt dans un an ou deux”, a déclaré Shykevich.
Open AI n’a pas immédiatement répondu à la demande de commentaire d’Insider.
