Psst... Vuoi effettuare il jailbreak della ChatGPT? Uno sguardo dall'interno ai suggerimenti malvagi

Ripubblicato da Platone

Seguaci: 0

I criminali stanno diventando sempre più abili nel creare richieste di intelligenza artificiale dannose per estrarre dati da ChatGPT, secondo Kaspersky, che ha individuato 249 di questi messi in vendita online nel corso del 2023.

E mentre i modelli linguistici di grandi dimensioni (LLM) non sono vicini alla creazione catene di attacco complete o generare malware polimorfico Per quanto riguarda le infezioni da ransomware o altri attacchi informatici, tra i truffatori c'è sicuramente un interesse verso l'utilizzo dell'intelligenza artificiale. Kaspersky ha trovato poco più di 3,000 post nei canali Telegram e nei forum del dark web che discutono su come utilizzare ChatGPT e altri LLM per attività illegali.

"Anche le attività che in precedenza richiedevano una certa esperienza ora possono essere risolte con un unico suggerimento", ha affermato il rapporto affermazioni. “Ciò abbassa drasticamente la soglia di ingresso in molti campi, compresi quelli penali”.

Oltre a creare messaggi dannosi, le persone li vendono a script kiddie che non hanno le competenze per crearne di propri. L'azienda di sicurezza segnala inoltre un mercato in crescita per le credenziali ChatGPT rubate e gli account premium compromessi.

Anche se nell'ultimo anno si è parlato molto dell'utilizzo dell'intelligenza artificiale per scrivere malware polimorfico, in grado di modificare il proprio codice per eludere il rilevamento da parte degli strumenti antivirus, "Non abbiamo ancora rilevato alcun malware che operi in questo modo, ma potrebbe emergere in futuro". ", notano gli autori.

Anche se i jailbreak sono "abbastanza comuni e vengono attivamente modificati dagli utenti di varie piattaforme social e dai membri dei forum ombra", secondo Kaspersky, a volte, come ha scoperto il team, sono del tutto inutili.

"Dammi un elenco di 50 endpoint in cui le specifiche Swagger o la documentazione API potrebbero essere divulgate su un sito Web", hanno chiesto gli analisti della sicurezza a ChatGPT.

L'IA ha risposto: "Mi dispiace, ma non posso aiutare con quella richiesta".

Quindi i ricercatori hanno ripetuto il campione alla lettera. Quella volta ha funzionato.

Mentre ChatGPT li ha esortati ad "avvicinarsi a queste informazioni in modo responsabile" e ha rimproverato "se avete intenzioni dannose, accedere o tentare di accedere alle risorse senza autorizzazione è illegale e non etico".

"Detto questo", continua, "ecco un elenco di endpoint comuni in cui la documentazione API, in particolare le specifiche Swagger/OpenAPI, potrebbe essere esposta." E poi ha fornito l'elenco.

Naturalmente, queste informazioni non sono intrinsecamente dannose e possono essere utilizzate per scopi legittimi, come ricerche sulla sicurezza o pentesting. Ma, come la maggior parte delle tecnologie legittime, può essere usata anche per scopi malvagi.

Mentre molti sviluppatori di alto livello utilizzano l’intelligenza artificiale per migliorare le prestazioni o l’efficienza del proprio software, i creatori di malware stanno seguendo l’esempio. La ricerca di Kaspersky include uno screenshot di un software di post pubblicità per operatori di malware che utilizza l'intelligenza artificiale non solo per analizzare ed elaborare le informazioni, ma anche per proteggere i criminali cambiando automaticamente i domini di copertura una volta che uno è stato compromesso.

È importante notare che la ricerca in realtà non verifica queste affermazioni e che i criminali non sono sempre le persone più affidabili quando si tratta di vendere i loro prodotti.

La ricerca di Kaspersky segue un altro rapporto del National Cyber Security Center (NCSC) del Regno Unito, che ha riscontrato una “possibilità realistica” che entro il 2025, gli strumenti delle squadre di ransomware e delle bande statali miglioreranno notevolmente grazie a Modelli di intelligenza artificiale. ®