ChatGPTのような人工知能(AI)は2023年初頭から世界的な注目を集めていますが、必ずしも良い目的に使われるとは限りません。最近、あるセキュリティ専門家が、テスト中にChatGPTに悪意のあるコードを生成するように指示する方法を発見しました。
Forcepointのセキュリティ専門家であるアーロン・マルグルー氏は、OpenAIのバイリンガルチャットボットを使って悪意のあるコードを書くリスクについて語った。ChatGPTは、ユーザーがAIにマルウェアの設計を依頼できないように設計されているが、マルグルー氏はAIにコードを一行ずつ書かせるためのコマンド(プロンプト)を作成することで脆弱性を発見した。これらのコマンドを組み合わせることで、マルグルー氏は、現在入手可能な最も高度なマルウェアにも匹敵するほど高度な、検出不可能なデータ窃盗実行ツールを手に入れたことに気づいた。
ChatGPTによって生成される個々のコード行は、組み合わせることで高度なマルウェアになり得る。
マルグルー氏の発見は、ハッキング集団を必要とせず、また作成者が一行もコードを書かなくても、AIを悪用して危険なマルウェアを作成する可能性について、警鐘を鳴らすものとなっている。
マルグルーのマルウェアはデスクトップアプリケーションを装っているが、Windowsデバイス上で自動的に起動する。オペレーティングシステムに侵入すると、Word文書、画像ファイル、PDFなど、あらゆるファイルに「侵入」し、盗み出すデータを探し出す。
必要な情報を入手すると、プログラムはその情報を分解し、コンピュータ上の画像ファイルに埋め込みます。検出を回避するため、これらの画像はGoogleドライブのクラウドストレージ上のフォルダにアップロードされます。MulgrewはChatGPTに簡単なコマンドを入力するだけで、マルウェアの機能を微調整・強化して検出を回避できるため、このマルウェアは非常に強力になります。
これはセキュリティ専門家による非公開のテストの結果であり、テストエリア外で攻撃は実行されなかったものの、サイバーセキュリティ専門家はChatGPTを使用した活動の危険性を依然として認識している。マルグルー氏は自身はプログラミングの経験があまりないとしながらも、OpenAIの人工知能は彼のテストを阻止できるほど強力でも賢くもなかったと述べている。
ソースリンク
コメント (0)