| Undefined
Nel 2022, la società americana OpenAI (https://openai.com/) ha rilasciato un chatbot AI chiamato ChatGPT (Chat Generative Pre-trained Transformer). Un chatbot è un programma per computer che simula la conversazione umana per aiutare nella comunicazione e nei servizi con i clienti attraverso l’uso dell’intelligenza artificiale. Nella fattispecie una caratteristica distintiva di ChatGPT è che utilizza le proprie capacità di apprendimento automatico per spiegare argomenti complessi e fornire soluzioni pratiche. Apprezzato per la sua straordinaria capacità di imitare conversazioni umane e redigere pezzi di letteratura, musica e codice piuttosto attendibili in pochi minuti, ChatGPT ha portato alla ribalta le potenzialità della cosiddetta intelligenza artificiale generativa basata sui Large Language Model (LLM).
Sebbene i termini di servizio di OpenAI per ChatGPT vietino specificamente la generazione di malware, inclusi ransomware, keylogger, o altro software dannoso e vietino anche di creare casi d’uso finalizzati al crimine informatico, come per qualsiasi nuova tecnologia non si può escludere che qualcuno possa cercare di sfruttarla per fini illeciti.
ChatGPT i potenziali rischi
In questo scenario infatti fin da subito si sono puntati i riflettori sui potenziali rischi dell’utilizzo di ChatGPT e su come un programma potenziato come questo possa essere pericoloso nelle mani sbagliate. Ad esempio è ben noto che, a partire da uno specifico spunto su di un determinato argomento, ChatGPT sia in grado di creare testi che appaiono convincenti, specialmente se affinati ulteriormente con input successivi da parte dell’utente. E mentre ChatGPT si rifiuterà certamente di scrivere e-mail di phishing dietro una richiesta esplicita, è possibile comunque chiedergli di creare modelli di e-mail per altri messaggi, che vertono su argomenti che possono comunque essere sfruttati per scopi malevoli pur sembrando leciti, come ad esempio la richiesta di un bonus in offerta, un importante aggiornamento software o un documento allegato che debba essere esaminato con urgenza. Tutti questi aspetti rendono concreta la possibilità che ChatGPT e tool simili vengano usati per creare messaggi di phishing e in particolare di spear phishing. La generazione automatica di e-mail di phishing potrebbe essere utile per creare un’e-mail verosimile anche in lingue diverse, rendendo il messaggio ancora più plausibile, in funzione del destinatario e del presunto mittente.
Ma un’altra preoccupazione legittima potrebbe essere anche legata alla capacità che ChatGPT e altri modelli simili hanno di creare codice software a partire da una descrizione del problema da risolvere.
Un chatbot intelligente potrebbe aiutare un attore malevolo anche inesperto nel creare un nuovo malware?
Anche in questo caso tutto dipende da come viene posto il problema.
Poiché gli strumenti come ChatGPT partono dall’analisi di enormi quantità di testo ricavate da varie fonti, comprese generiche pagine web, e arrivano a comprendere le relazioni statistiche che esistono tra vari termini e combinazioni di parole (non comprendono realmente il contenuto dei testi), quando si chiede a un tool come ChatGPT di scrivere codice per risolvere un problema, il tool non comprende davvero di che problema si tratti e non escogita realmente una soluzione, ma la descrizione di quel problema viene statisticamente associata a un determinato tipo di codice.
Ricordando che il malware altro non è che una sequenza di righe di codice, se invece di chiedere a ChatGPT la scrittura esplicita di un malware, si chiede la scrittura di parti di codice che potrebbero non destare alcun sospetto, ChatGPT fornirà il codice.
Pertanto la qualità e l’efficienza del codice generato dipenderà dall’abilità dell’utente a scomporre il suo problema in passi semplici e proporli a ChatGPT e successivamente ad assemblarli a suo piacimento. Per un aspirante cyber criminale questo caso d’uso potrebbe essere meno conveniente rispetto all’utilizzo di kit già pronti all’uso e disponibili come servizi (MaaS, RaaS) nei mercati underground.
Infine, non sono da dimenticare i rischi sulla privacy e la confidenzialità dei dati aziendali. Cosa succede ai dati che eventuali dipendenti inseriscono in ChatGPT per semplificare o velocizzare le proprie attività giornaliere? Notizia di pochi giorni fa è che anche il Garante della Privacy Italiano ha acceso un faro su ChatGPT prendendo un importante provvedimento per salvaguardare la privacy dei cittadini.
ChatGPT, l’altra faccia della medaglia
Ma c’è un’altra faccia della medaglia, che potrebbe rivelarsi anche un vantaggio per la sicurezza informatica. Poiché i chatbot AI, come ChatGPT, sono particolarmente bravi a gestire, comprendere e scrivere codice, è possibile che, assistendo gli sviluppatori con i loro progetti, questi strumenti possano aiutare a creare codice migliore e più sicuro aiutando gli analisti. Una AI basata su LLM potrebbe effettivamente comparare diversi stili di programmazione e, quindi, aiutare nella attribuzione di un codice malware a specifici gruppi criminali e analizzare dei segmenti di codice nei malware per stabilire il loro effettivo obiettivo.
Inoltre sulla base delle informazioni disponibili sulle minacce attive in un dato momento e alle relative correlazioni l’AI potrebbe aiutare gli analisti umani anche:
- nella threat detection;
- nell’identificazione di IoC per i quali non esistono ancora regole EDR ben definite;
- nel rilevare tecniche di evasione;
- nel decifrare malware con codice offuscato;
- nell’identificare malware sconosciuti analizzando il grado di similarità del loro codice con quello di malware già noti.
Conclusioni
È importante infine rimarcare il concetto che mentre i modelli di linguaggio AI come ChatGPT possono aiutare a generare testo da impiegare in e-mail di phishing o codice base malware (più o meno funzionante), non possono comunque eseguire azioni dannose da soli. L’idea che ChatGPT e altri modelli simili possano diventare uno strumento in grado di effettuare in autonomia azioni anche ostili è poco concreta (allo stato attuale). Questi modelli, infatti, non reagiscono alle condizioni esterne ma danno solo risposte a determinate domande.
In tutti i casi, le organizzazioni e gli utenti in generale devono rimanere vigili e consapevoli dei possibili rischi e futuri scenari.