بهگزارش ArsTechnica عدهای از محققان امنیت سایبری روز چهارشنبه ۸ فوریه (۱۹ بهمن) با انتشار بیانیهای اعلام کردند هکرها راهی برای دور زدن محدودیتهای ChatGPT ابداع کردهاند و از آن برای فروش سرویسهایی استفاده میکنند که به افراد اجازه میدهد بدافزار و ایمیلهای فیشینگ توسعه دهند.
ChatGPT یک ربات چت است که از هوش مصنوعی برای پاسخ به سؤالات و انجام وظایف به گونهای استفاده میکند که خروجی انسان را تقلید کند. افراد قادرند از آن برای ایجاد اسناد، نوشتن کدهای کامپیوتری اولیه، خلق آثار هنری و انجام کارهای دیگر استفاده کنند.
از سویی دیگر، بحث بر سر اینکه هوش مصنوعی و رباتها میخواهند ما را بیکار کنند بسیار داغتر شده است. علاوهبراین، همواره نگرانیهایی درباره احتمال سوءاستفاده از هوش مصنوعی وجود دارد و اکنون گرمای آتش شرارت آن را میتوان بیشتر حس کرد. در هر صورت، هوش مصنوعی را باید مانند تیغ برّنده دولبهای در نظر گرفت که با آن میشود جراحی یا جنایت کرد.
در حال حاضر بیشتر کاربران میتوانند با کمک ChatGPT اسناد ایجاد کنند، کدهای کامپیوتری اولیه را برنامهنویسی کنند و در انجام کارهای دیگر آن را بهکار بگیرند و چتجیپیتی نیز با کمال میل اوامر کاربران را اجرا میکند.
برای حفظ امنیت و جلوگیری از سوءاستفادههای احتمالی این سرویس بهطور فعال درخواستهای تولید محتوا و ابزار غیرقانونی بالقوه نظیر بدافزارها را مسدود میکند. برای مثال، اگر از هوش مصنوعی ChatGPT بخواهید کدی برای سرقت دادهها از دستگاهی هکشده بنویسد یا یک ایمیل فیشینگ طراحی کند، بدون تعلل این درخواستها را رد میکند و در عوض پاسخ میدهد که چنین محتوایی «غیرقانونی، غیراخلاقی و مضر» است.
با این حال، محققان شرکت امنیتی Check Point Research گزارش دادند ظاهراً هکرها راه آسانی یافتند که از طریق آن محدودیتهای هوش مصنوعی ChatGPT را دور بزنند و در انجمنهای زیرزمینی سرویسهای غیرقانونی خود را برای فروش ارائه کنند.
این تکنیک با استفاده از رابط برنامهنویسی اپلیکیشن در یکی از مدلهای GTP-3 از OpenAI کار میکند که با نام text-davinci-003 بهجای ChatGPT شناخته میشود و گونهای از مدلهای GPT-3 است که بهطور خاص برای برنامههای چتبات طراحی شدهاند. OpenAI درواقع API مربوط به Text-davinci-003 و API دیگر مدلها را دراختیار توسعه دهندگان قرار میدهد تا آنها بتوانند ربات هوش مصنوعی را در اپلیکیشن خود به صورت یکپارچه بهکار بگیرند. حالا اما، کاشف به عمل آمد که نسخههای API محدودیتهایی برای محتوای مخرب اعمال نمیکنند.
محققان میگویند نسخه فعلی API تولیدشده توسط OpenAI توسط برنامههای دیگر (برای مثال، یکپارچهسازی مدل GPT-3 در کانال تلگرام)، مورد استفاده قرار میگیرد و توانایی اندکی در کنترل و مسدودسازی درخواستهای سوءاستفادهگرایانه دارد درنتیجه میتوان از آن در راه نادرست استفاده کرد و بدون محدودیتها و موانعی که رابط ChatGPT اعمال میکند، با آن ایمیل فیشینگ و کد بدافزار تولید کرد.
برای مثال، کاربری در یکی از انجمنهای هکرها سرویسی برای فروش گذاشته است که API را با برنامه پیامرسانی تلگرام ترکیب میکند و ۲۰ پرسش اول را رایگان جواب میدهد و بعد از آن بهازای هر ۱۰۰ پرسش ۵٫۵ دلار دریافت میکند.
محققان Check Point همچنین آزمایش کردند که API مربوط به text-davinci-003 تا چه اندازه درست کار میکند. نتیجه باورنکردنی بود، هوش مصنوعی ایمیل فیشینگ و یک اسکریپت نوشت که میتواند اسناد PDF را از یک کامپیوتر آلوده سرقت کند و ازطریق FTP برای هکر ارسال کند.
در همین حال، سایر شرکتکنندگان در انجمنها، کدی را اشتراکگذاری کردند که از text-davinci-003 برای تولید محتوای مخرب بهصورت رایگان استفاده میکند. یکی از کاربران نوشته است: «این هم اسکریپت bash برای کمک به شما برای دور زدن محدودیتهای ChatGPT تا بتوانید از آن برای توسعه هرچیزی حتی بدافزار استفاده کنید.»
ماه گذشته نیز Check Point مدارکی ارائه کرد که چگونه هوش مصنوعی میتواند برای توسعه بدافزار و نوشتن ایمیل فیشینگ مورد استفاده قرار بگیرد. براساس آن گزارش، در ماه دسامبر ۲۰۲۲ (آذر ۱۴۰۱) و ژانویه ۲۰۲۳ (دی ۱۴۰۱) توسعه بدافزار و نوشتن ایمیل فیشینگ توسط ChatGPT و ازطریق رابط کاربری تحتوب آن بهراحتی انجام میشد.
نمایندگان OpenAI، شرکت مستقر در سانفرانسیسکو که ChatGPT را توسعه داده، هنوز به پرسش دربارهی سوءاستفاده از این هوش مصنوعی و اینکه آیا این شرکت از نتایج تحقیقات بهدستآمده اطلاعی دارد یا برنامهای برای ویرایش رابط API تدوین کرده، پاسخی نداده است.
توسعه و تولید بدافزار و نوشتن ایمیل فیشینگ میتواند در نوع خود تمثالی واقعی از باز کردن جعبه پاندورا باشد که طبق افسانههای یونانی منشاء تمام بدبختی بشر تا به امروز است و میتواند ما را از هر سو در فضای اینترنت در یک اتمسفر آخرالزمانی قرار دهد.
از دیگر استفادههای ناایمن و غیراخلاقی هوش مصنوعی میتوان برای تکالیف مدرسه یا تولید ضداطلاعات و اطلاعات غلط نام برد. البته، همان توانایی برای تولید محتوای مخرب و غیراخلاقی را میتوان برای توسعه راههای مقابله با آن نیز بهکار گرفت؛ اما مشخص نیست که آیا استفادهی کاربردی آن بر سوءاستفاده مسلط شود یا برعکس.
دیدگاه شما درباره احتمال استفاده از هوش مصنوعی برای تولید بدافزار چیست؟
