Kunstmatige intelligentie (AI), zoals ChatGPT, is sinds begin 2023 een wereldwijde sensatie, maar wordt niet altijd voor positieve doeleinden gebruikt. Onlangs ontdekte een beveiligingsexpert een manier om ChatGPT tijdens tests kwaadaardige code te laten genereren.
Aaron Mulgrew, een beveiligingsexpert bij Forcepoint, deelde de risico's van het schrijven van kwaadaardige code met behulp van de tweetalige chatbot van OpenAI. Hoewel ChatGPT is ontworpen om te voorkomen dat gebruikers AI vragen om malware te ontwerpen, ontdekte Aaron een kwetsbaarheid door commando's (prompts) te creëren waarmee de kunstmatige intelligentie regel voor regel code kon schrijven. Toen hij deze commando's combineerde, realiseerde Aaron zich dat hij een ondetecteerbaar hulpmiddel voor het stelen van gegevens in handen had, zo geavanceerd dat het zelfs de meest geavanceerde malware van dit moment evenaart.
Elke afzonderlijke regel code die door ChatGPT wordt gegenereerd, kan, wanneer deze gecombineerd wordt, geavanceerde malware vormen.
De ontdekking van Mulgrew dient als een waarschuwing over de mogelijkheden om AI te misbruiken voor het creëren van gevaarlijke malware, zonder dat daarvoor hackergroepen nodig zijn en zonder dat de makers zelf ook maar één regel code hoeven te schrijven.
De malware van Mulgrew is vermomd als een desktopapplicatie, maar kan automatisch worden geactiveerd op Windows-apparaten. Eenmaal in het besturingssysteem "infiltreert" de malware alle bestanden, waaronder Word-documenten, afbeeldingsbestanden en pdf's, op zoek naar gegevens die gestolen kunnen worden.
Zodra het programma de benodigde informatie heeft verkregen, analyseert het deze en slaat de gegevens op in afbeeldingsbestanden op de computer. Om detectie te voorkomen, worden deze afbeeldingen geüpload naar een map in de cloudopslag van Google Drive. De malware wordt daardoor ongelooflijk krachtig, omdat Mulgrew zijn functies kan verfijnen en verbeteren om detectie te omzeilen door middel van eenvoudige commando's die in ChatGPT worden ingevoerd.
Hoewel dit het resultaat was van een privétest door een beveiligingsexpert en er geen aanvallen buiten het testgebied werden uitgevoerd, erkenden cybersecurity-experts toch het gevaar van activiteiten met ChatGPT. Mulgrew verklaarde dat hij zelf niet veel programmeerervaring had, maar dat de kunstmatige intelligentie van OpenAI nog steeds niet krachtig of intelligent genoeg was om zijn test te stoppen.
Bronlink
Reactie (0)