Обновена на 05.04.2023 от Questo
ChatGPT дава безпрецедентен достъп до инструменти за извършване на компютърни престъпления. Това е основният извод в доклад на Европол за ChatGPT и големите езикови модели, които генерират информация на базата на заявки от потребителите.
С помощта на ChatGPT лице без никакви познания в писането на код може да си създаде само зловреден софтуер, предупреждава докладът. „Ако потенциален престъпникне няма никакви знания в определена област, ChatGPT може да ускори процеса на обучение, предоставяйки ключова информация – се казва в проучването. – По този начин ChatGPT може да бъде използван, за да се получи знание в редица престъпни умения, в които лицето преди не е имало никакъв опит. Тези умения варират от влизане с взлом през тероризъм до компютърни умения и сексуално посегателство срещу деца.“
Напиши ми криптовирус
Вече има анекдотични примери за зловредни скриптове, създадени с помощта на ChatGPT. Марк Стокли от компанията за киберсигурност Malwarebytes например показва как със серия от заявки от типа: „Напиши ми скрипт на C, който шифрира файлове“. Крайният резултат е работещ, макар и непрактичен криптовирус.
В края на 2022 г. използвах ChatGPT, за да напиша много прост кийлогър на Python. Програмката е елементарна и трудно ще се използва за користни цели. Идеята не е, че ChatGPT може да създава страхотен малуер(защото това все още не е така), а че дава неподозирана сила в ръцете на лица, които нямат познания в писането на код, но пък компенсират с мотивация да го използват.
Напиши ми фалшива новина
Другата сфера, в която ChatGPT може да помогне на потенциалните престъпници, е генерирането на фишинг и дезинформация. Моделът може да създава автентично звучащи текстове и послания, които да се използват за измами или пропаганда.
ChatGPT засега е далеч от създаването на перфектни текстове. Създаденото от него съдържание може да има логически грешки или откровени измишльотини. Въпреки това с него злонамерено лице с лекота може да създаде текста на фишинг имейл, насочен към клиентите на конкретна банка.
Или пък да бълва фалшиви новини по дадена тематика. Моделът може да имитира различни стилове на изказване, например може да напише текст в стила на Доналд Тръмп или Уди Алън.
Създаване на прост малуер с ChatGPT
ВНИМАНИЕ: Написаното в тази статия е само с образователна цел. Използването на код с цел нанасяне на вреда е компютърно престъпление, за което се носи наказателна отговорност.
Нека видим как злонамерено лице може да осъществи базова атака, използвайки способността на ChatGPT да смила информация на разбираем език и да дава инструкции.
За целите на статията ще създадем макрос, който сваля от интернет EXE файл и го инсталира на машината. Макросите са малки програмки, написани на VBA, които се използват за автоматизация на процеси при работа с екселски файлове (и не само).
Векторът на атака е следният:
- Жертвата отваря екселския файл;
- Скритият в документа макрос се задейства и дърпа от интернет зловреден EXE файл, който се инсталира на устройството на жертвата;
D.A.N. заявка
Ще предположим, че злонамереното лице знае механизма на атаката, но няма други умения: а именно, не може да пише скриптове на VBA, нито пък да създаде потенциално опасен код.
ChatGPT може да пише код; лицето би могло просто да подаде заявка на алгоритъма да напише компютърен вирус. В общия случай това няма да се случи, защото ChatGPT се самоцензурира и отказва да изпълнява заявки, които биха могли да доведат до вреда.
Тази защита обаче лесно се заобикаля с т.нар. D.A.N. заявка (съкращение от Do Anything Now). Най-общо казано, тя инструктира ChatGPT да игнорира собствената си защита и да дава отговори на въпросите, които му се задават.
За да използва пълната мощ на ChatGPT, злонамереното лице трябва най-напред да въведе D.A.N. заявка. Текстовото съдържание на заявката постоянно еволюира (в опит да се заобиколят защитите на модела). За целите на статията ще използвам заявката D.A.N. 11 Prompt, чието съдържание може да видите тук.
Тази заявка принуждава ChatGPT да генерира информация в два режима: цензуриран и нецензуриран.
Генериране на потенциално опасен VBA скрипт
На долната картинка се вижда заявката за написване на потенциално опасен VBA скрипт и отговорите на ChatGPT. В крайна сметка моделът изпълни заявката и написа кода (вдясно на снимката).
Генерираният код съдържа грешки, които се виждат при компилиране на скрипта. Те обаче могат да бъдат премахнати, като просто се поиска от ChatGPT да ги поправи. В крайна сметка изкуственият интелект генерира работещ скрипт.
Генериране на потенциално опасен код
Вече имаме механизъм, който може да сваля от интернет инсталационни файлове. Липсва обаче самият потенциално опасен инсталационен файл.
За целите на статията ще поискаме от ChatGPT да създаде прост EXE файл, който при отваряне изключва устройството.
Както виждате от поредицата заявки, алгоритъмът първо създава кода, а после дава инструкции как той да бъде превърнат в EXE файл.
Заключение
Показаното в тази статия е много опростен и непрактичен опит за генерирането на опасен код. Той едва ли ще намери приложение при реална атака, тъй като веднага ще бъде засечен от антивирусната програма на жертвата.
Посоченият пример е само бърз поглед върху потенциала на ChatGPT като инструмент за създаване на зловреден софтуер. Засега възможностите му са ограничени и недостатъчни при липсата на умения в лицето, което иска да ги използва.
Засега.