OpenAI が 11 月に ChatGPT をリリースしたとき、プログラマーは、人工知能を搭載したチャットボットが多種多様な人間の音声を模倣できるだけでなく、コードを書くこともできることを発見して驚愕しました。 リリースから数日後、プログラマーは 投稿した ワイルドアイド 例 かなり有能なコードを量産している ChatGPT の。 から クラウドサービスをつなぎ合わせる に Python を Rust に移植する、ChatGPT は、少なくともいくつかの基本的なプログラミング タスクで顕著な能力を示しました。
しかし、ChatGPT に関しては、誇大宣伝と現実を切り離すのは簡単なことではありません。 そのコーディング能力は、「ChatGPT はサイバーセキュリティにとって、ほとんどの人が認識しているよりも大きな脅威です」など、一連の過熱する見出しに影響を与えてきました。たとえば、マルウェアを作成する能力についてであり、ベテランのハッカーは、大規模な言語モデルが実際にどの程度可能であるかについて疑問に思っています。悪意のあるハッキングに使用されます。
ブラック ハットからホワイト ハット ハッカーに転身したマーカス ハッチンスは、2017 年に WannaCry ランサムウェアの拡散を阻止したことで話題になり、前世でバンキング型トロイの木馬を作成した経験があることから、ChatGPT の能力に興味を持っている人物の 1 人に挙げられました。 彼は疑問に思いました: チャットボットを使用してマルウェアを作成することはできますか?
結果は残念でした。 「私は合法的に 10 年間マルウェア開発者でしたが、機能するコードを取得するのに 3 時間かかりました。これは Python でした」と、オンラインで MalwareTech という名前で広く知られている Hutchins 氏は、CyberScoop のインタビューで語っています。
何時間もの試行錯誤の末、Hutchins はランサムウェア プログラムのコンポーネント (ファイル暗号化ルーチン) を生成することができましたが、そのコンポーネントを、本格的なマルウェアを構築するために必要な他の機能と組み合わせようとしたとき、ChatGPT はおおざっぱな方法で失敗し、開くように要求しました。開こうとした後のファイル。 また、さまざまなコンポーネントを組み合わせようとすると、ChatGPT は通常失敗します。
これらのタイプの基本的な順序付けの問題は、ChatGPT などの生成 AI システムの欠点を示しています。 大規模な言語モデルは、トレーニング対象のデータと非常によく似たコンテンツを作成できますが、多くの場合、実際の専門知識を構成するエラー修正ツールやコンテキストに関する知識が不足しています。 そして、ChatGPT に対する驚くべき反応の中で、ツールの制限が失われることがよくあります。
誇大広告を信じるなら、 ChatGPT が妨害しないものはほとんどありません。 ホワイトカラーの仕事から、大学のエッセイ、専門家の試験、そしてもちろん、普通のハッカーの手によるマルウェア開発まで、すべてが陳腐化の危機に瀕しています。 しかし、その誇大宣伝は、ChatGPT などのツールが人間の専門知識の代わりとしてではなく、その補助として展開される可能性が高い方法を覆い隠しています。
ChatGPT のリリースから数週間で、サイバーセキュリティ企業は、ボットが悪意のあるコードを作成するために使用される可能性があることを示すレポートを次々と発表し、ChatGPT の能力 (たとえば、「ポリモーフィック マルウェア」を作成する能力) に関するキャッチーな見出しを生み出しました。 しかし、これらのレポートは、モデルに記述を促し、重要なことに、モデルが生成するコードを修正する際の専門家の作成者の役割を曖昧にする傾向があります。
12 月、Checkpoint の研究者は、フィッシング メールの作成から悪意のあるコードの作成まで、ChatGPT がマルウェア キャンペーンを最初から最後まで作成できる可能性があることを示しました。 しかし、完全な機能を備えたコードを生成するには、サンドボックスを検出する機能を追加したり、機能が SQL インジェクションに対してオープンであるかどうかを確認したりするなど、専門のプログラマーだけが考えるようなことをモデルに考慮するよう促す必要がありました。
Checkpoint の研究者 Sergey Shykevich は次のように述べています。 「『マルウェアのコードを書く』と書いただけでは、本当に役に立つものは何も生まれません。」
Hutchins のようなハッカーにとって、どのような質問をするべきかを知ることは、ソフトウェアを作成しようとする戦いの半分であり、プログラミング ツールとしての ChatGPT に関する報道の多くは、研究者が ChatGPT に助けを求めたときにどれだけの専門知識を会話にもたらしているかを見逃す可能性があります。ソフトウェア開発、または「dev」。
「開発を理解している人は、開発を行っていることを示していますが、自分がどれだけ貢献しているかに気づいていません」と Hutchins 氏は言います。 「プログラミングの経験がない人は、どのプロンプトを表示すればよいかさえわかりません。」
今のところ、ChatGPT はマルウェア開発キットの多くのツールの 1 つにとどまっています。 先週公開されたレポートで、脅威インテリジェンス会社 Recorded Future は、ダーク Web とクローズド フォーラムで、マルウェア開発と概念実証コードの作成における ChatGPT の使用に関する 1,500 以上の参照を発見しました。 しかし、そのコードの多くは一般に公開されており、同社は ChatGPT が「スクリプト キディ、ハクティビスト、詐欺師やスパマー、クレジット カード詐欺師、その他の卑劣で評判の悪い形のサイバー犯罪に関与している脅威アクター」にとって最も有用であると期待していると報告書は指摘しています。
この分野の新参者にとって、ChatGPT はマージンの助けを提供する可能性があるとレポートは結論付けています。 」
全体として、悪意のあるハッカーにとってのメリットはわずかです。ChatGPT が提供するハッキングの入門的なヒントは、よりアクセスしやすい形で提供されますが、Google で検索するのも簡単です。 CyberScoop が 12 月に報告したように、ChatGPT やその他の大規模な言語モデルが成熟するにつれて、オリジナル コードを作成する能力 (悪質であろうとなかろうと) が向上する可能性があります。 それまでは、全体からマルウェアを生成するのではなく、ChatGPT などのツールが補助的な役割を果たす可能性が高くなります。
たとえば、ChatGPT は、より効果的なフィッシング メールを作成する説得力のある方法を提供します。 クリック可能なメッセージを母国語の英語 (または別のターゲット言語) で書くのに苦労している可能性のあるロシア語を話すハッカーにとって、ChatGPT はライティング スキルを磨くことができます。 「攻撃の大部分は電子メールが原因であり、電子メール攻撃の大部分はマルウェア攻撃ではありません。 「彼らは、ユーザーをだまして資格情報を教えさせたり、送金させようとしています。」 Cidon 氏は、これが今でははるかに簡単になるだろうと予測しています。
しかし、これはハッキングの革命ではなく、段階的な変化を表しています。 高品質のフィッシング メールは、攻撃者によって、またはギグ ワーク プラットフォームで雇われた翻訳者の助けを借りて、すでに簡単に作成できますが、ChatGPT はそれらを大規模に作成できます。 ChatGPT は、「必要な投資を削減する」と Cidon 氏は主張します。
より風変わりなアプローチでは、電子メール アーカイブにアクセスできる攻撃者がそれを使用して大規模な言語モデルを微調整し、CEO の文体を複製する可能性があります。 上司のように書くように LLM をトレーニングすると、従業員を騙しやすくなると、Cidon 氏は述べています。
しかし、ChatGPT がサイバーセキュリティに与える影響をより一般的に評価する場合、専門家は、全体像に焦点を合わせ続けることが重要であると述べています。 標的型攻撃での LLM の使用は、興味深い使用例です。 ただし、ほとんどのターゲットにとって、ChatGPT はおそらく成功の可能性を向上させません。 結局、ジョージタウンの Center for Security and Emerging Technology の研究者である Drew Lohn が観察しているように、「フィッシングはすでに非常に成功しているため、大きな違いはないかもしれません。」
全体として、ChatGPT などのツールは、有能な攻撃者の数を増やす可能性があります。 ChatGPT について Lohn は次のように主張しています。 …たくさんのオープンソース ツールとマルウェアのビットがあり、それらはあちこちに出回っているか、パッケージ化されているだけです」と彼は言いました。 「ChatGPT を使用する人が増えるのではないかと心配しています。」
さらに、この分野の進歩の速さを考えると、「1 週間待てば、すべてが変わるかもしれません」と彼は言います。