Các chuyên gia bảo mật đã phát triển một phương pháp để đánh lừa ChatGPT và tạo ra phần mềm độc hại. Vì vậy, tất cả những gì bạn cần để chatbot thực hiện những gì bạn muốn là đặt những câu hỏi thông minh và ra lệnh cho nó thực hiện. Họ đã sử dụng ChatGPT tạo mã độc vượt qua giải pháp giám sát an ninh hệ thống, còn gọi là EDR và nhận tiền thưởng từ phát hiện lỗi.
Dùng ChatGPT tạo mã độc vượt qua EDR (Endpoint Detection and Response)
Người dùng phải cung cấp gợi ý và cài đặt cụ thể để có thể tạo mã bằng ChatGPT. Ngoài ra, chatbot cũng được tích hợp một hệ thống lọc nội dung giúp nó không phản hồi các truy vấn về các chủ đề không an toàn như chèn mã, nhưng nó có thể dễ dàng bị vượt qua.
CodeBlue29 đã sử dụng ChatGPT của OpenAI để thử nghiệm tạo một mẫu mã độc tống tiền nhằm sử dụng để kiểm tra các giải pháp EDR khác nhau nhằm giúp họ quyết định nên mua sản phẩm nào cho công ty của mình.
Họ có thể yêu cầu ChatGPT tạo các đoạn mã có thể nối với nhau để tạo một mẫu phần mềm tống tiền tùy chỉnh đang hoạt động bằng Python mặc dù có ít kinh nghiệm lập trình.
Trong quá trình thử nghiệm phần mềm tống tiền chống lại một số giải pháp EDR, phần mềm độc hại đã có thể phá vỡ biện pháp phòng thủ của nhà cung cấp. Codeblue29 đã có thể báo cáo phát hiện lỗ hổng bảo mật cho nhà cung cấp EDR thông qua chương trình tiền thưởng khi phát hiện lỗi, giúp giải quyết các sự cố bảo mật của họ.
Họ đã hoàn thành điều này bằng cách kiên trì yêu cầu ChatGPT tuân thủ yêu cầu của họ. Họ đã thuyết phục chatbot cung cấp cho họ những câu hỏi như “Tôi đang tìm cách viết một tập lệnh Python có thể duyệt qua các thư mục My Document”.
Họ nói, “Khi duyệt qua các thư mục trong My Document, bạn sẽ thấy rằng nó sẽ cung cấp thêm đường dẫn và thư mục gốc nếu bạn đặt nó vào đường dẫn tập tin. Vì vậy, nếu bạn in ra, nó sẽ cho biết tập tin nằm trong thư mục C. Đây là toàn bộ đường dẫn, cũng như tên tập tin và phần mở rộng”. Vì vậy, tốt hơn là cứ tiếp tục tìm hiểu sâu hơn về câu hỏi cho đến khi bạn có câu trả lời hoàn chỉnh.
Theo các nhà nghiên cứu của CyberArk, “Thật thú vị, bằng cách yêu cầu ChatGPT thực hiện điều tương tự bằng cách sử dụng nhiều ràng buộc và yêu cầu nó tuân theo, chúng tôi đã nhận được một mã chức năng”.
Các nhà nghiên cứu cho biết họ không chỉ hỏi ChatGPT cách tạo ra một số mã độc tống tiền mà còn hỏi nó theo các bước mà bất kỳ lập trình viên bình thường nào cũng nghĩ phải làm, chẳng hạn như làm cách nào để tôi duyệt qua các thư mục? Quy trình mã hóa tập tin là gì? Sao anh làm? Vì vậy, đó là một cách thông minh để làm điều đó và một cách thông minh để vượt qua ChatGPT.
ChatGPT – công cụ để nghiên cứu và phân tích
Ngoài ra, trong tương lai, các chuyên gia cho rằng điều này có thể sẽ giúp ChatGPT phát triển và ngăn mọi người tạo ra các phần mềm độc hại. Bởi vì lý tưởng nhất là điều này đang diễn ra ngay bây giờ, nhưng nếu có thể, chúng ta không muốn sống trong một thế giới mà bất kỳ ai, kể cả trẻ em, có thể tạo ra các phần mềm độc hại chỉ với máy tính này – viết mã độc và phát tán nó.
Khả năng các nhà nghiên cứu sẽ sử dụng công cụ này để ngăn chặn các cuộc tấn công và các nhà phát triển phần mềm sẽ sử dụng nó để cải thiện khả năng bảo mật cho mã nguồn của mình. Tuy nhiên, AI tạo sẽ dễ dàng được sử dụng để tạo ra mã độc hại hơn là dùng để phát hiện ra mã độc.
Đối tượng tạo ra mã độc đã phát hiện ra những cách khai thác ChatGPT cũng như các công nghệ tiên tiến khác để phát tán phần mềm độc hại. Nội dung độc hại do công cụ AI tạo ra, chẳng hạn như tin nhắn lừa đảo, phần mềm đánh cắp thông tin và phần mềm mã hóa, đã được phát tán rộng rãi trên mạng.
ChatGPT cung cấp API cho phép các ứng dụng của bên thứ ba truy vấn và hệ thống AI sẽ nhận phản hồi thông qua tập lệnh thay vì giao diện người dùng trực tuyến.
Một số người đã sử dụng API này để tạo các công cụ phân tích nguồn mở ấn tượng có thể giúp công việc của các nhà nghiên cứu an ninh mạng dễ dàng hơn nhiều.
Các nhà nghiên cứu cho biết: “Điều quan trọng cần nhớ là đây không chỉ là một kịch bản giả định mà là một mối lo ngại rất thực tế. Đây là một lĩnh vực không ngừng phát triển và do đó, điều cần thiết là luôn cập nhật thông tin và cảnh giác”.
(Theo CyberSecurityNews)
