As a cybersecurity blade, ChatGPT can cut both ways

ChatGPT – OpenAI द्वारा विकसित और GPT-3 प्राकृतिक भाषा जनरेटर पर आधारित बड़ा भाषा मॉडल – नैतिक बकवास पैदा कर रहा है। बायोमेडिकल इंजीनियरिंग, चैटजीपीटी स्लाइस और डाइस पर सीआरआईएसपीआर के प्रभाव की तरह, सूचना के स्क्रैप से कुछ नया बनाना और दर्शन, नैतिकता और धर्म के क्षेत्र में नए जीवन को इंजेक्ट करना।

यह कुछ और भी लाता है: व्यापक सुरक्षा निहितार्थ। विशिष्ट चैटबॉट्स और एनएलपी सिस्टम के विपरीत, चैटजीपीटी बॉट्स लोगों की तरह काम करते हैं – दर्शन और नैतिकता में डिग्री वाले लोग और बाकी सब कुछ। इसका व्याकरण त्रुटिहीन, वाक्य-विन्यास अभेद्य और अलंकार प्रधान है। यह ChatGPT को व्यावसायिक ईमेल समझौता कारनामों के लिए एक उत्कृष्ट उपकरण बनाता है।

जैसा कि चेकपॉइंट की एक नई रिपोर्ट बताती है, यह कम कोड-धाराप्रवाह हमलावरों के लिए मैलवेयर तैनात करने का एक आसान तरीका भी है। रिपोर्ट में कई खतरे वाले अभिनेताओं का विवरण दिया गया है जो हाल ही में अंडरग्राउंड हैकिंग फ़ोरम पर पॉपअप हुए थे और चैटजीपीटी के साथ अपने प्रयोग की घोषणा करने के लिए अन्य कारनामों के बीच मैलवेयर स्ट्रेन को फिर से बनाने के लिए।

सुरक्षा सेवा फर्म प्रेटोरियन के सीटीओ रिचर्ड फोर्ड ने एक आवेदन लिखने के लिए चैटजीपीटी, या किसी ऑटो कोड-जेनरेशन टूल का उपयोग करने के जोखिमों के बारे में सोचा।

“क्या आप उस कोड को समझते हैं जिसे आप खींच रहे हैं और आपके आवेदन के संदर्भ में, क्या यह सुरक्षित है?” फोर्ड ने पूछा। “जब आप कोड को काटते और चिपकाते हैं तो जबरदस्त जोखिम होता है, जिसके साइड इफेक्ट को आप नहीं समझते हैं – यह उतना ही सच है जब आप इसे स्टैक ओवरफ्लो से पेस्ट करते हैं, वैसे – यह सिर्फ चैटजीपीटी इसे इतना आसान बनाता है।”

देखो: सुरक्षा जोखिम मूल्यांकन चेकलिस्ट (TechRepublic प्रीमियम)

करने के लिए कूद:

एक ईमेल हथियारकार के रूप में चैटजीपीटी

डब्ल्यू/लैब्स के एंड्रयू पटेल और जेसन सैटलर द्वारा “क्रिएटिवली मैलिशियस प्रॉम्प्ट इंजीनियरिंग” शीर्षक के साथ हाल ही में किए गए एक अध्ययन में पाया गया कि चैटजीटीपी द्वारा उपयोग किए जाने वाले बड़े भाषा मॉडल स्पीयर फ़िशिंग हमलों को तैयार करने में उत्कृष्ट हैं। उनके शब्दों में, ये मॉडल किसी व्यक्ति की लेखन शैली को “टेक्स्ट डीपफेक” कर सकते हैं, शैलीगत विचित्रताओं को अपना सकते हैं, राय पेश कर सकते हैं और उस सामग्री के बिना नकली समाचार बना सकते हैं, यहां तक ​​कि इसके प्रशिक्षण डेटा में भी दिखाई नहीं दे रहे हैं। इसका मतलब यह है कि चैटजीपीटी जैसी प्रक्रियाएं फ़िशिंग ईमेल के अनंत पुनरावृत्तियों को बना सकती हैं, प्रत्येक पुनरावृत्ति अपने मानव प्राप्तकर्ता के साथ विश्वास बनाने में सक्षम होती है और संदिग्ध पाठ की तलाश करने वाले मानक टूल को मूर्ख बनाती है।

एब्नॉर्मल सिक्योरिटी के एक विश्लेषक क्रेन हैसोल्ड ने अपने बारे में एक लेख के लिए एक व्यावहारिक परिचय तैयार करके मेरे जैसे लोगों को बदलने के लिए चैटजीपीटी की क्षमता का एक उपयुक्त प्रदर्शन पेश किया। उन्होंने कहा कि फ्रेमवर्क मेलफैक्टर्स के लिए एक बेहतरीन मल्टीटूल है क्योंकि इसमें फिशिंग इंडिकेटर्स शामिल नहीं हैं जिन्हें आईटी टीमें कर्मियों और एआई को स्कैन करने के लिए प्रशिक्षित करती हैं।

हैसोल्ड ने कहा, “यह यथार्थवादी ईमेल को लाल झंडों से मुक्त कर सकता है और संकेत से मुक्त कर सकता है कि कुछ दुर्भावनापूर्ण है।” “यह अधिक विस्तृत, अधिक यथार्थवादी दिखने वाला और अधिक विविध हो सकता है।”

जब असामान्य सुरक्षा ने एचआर और पेरोल के उद्देश्य से बीईसी हमले के पांच नए रूपों को लिखने के लिए चैटजीपीटी से एक परीक्षण किया, तो यह एक मिनट से भी कम समय में पांच मिसाइलों को उत्पन्न करता है जो हैसोल्ड ने नोट किया था कि वे परस्पर अद्वितीय थे (चित्रा ए).

चित्रा ए

हैसोल्ड ने कहा कि बीईसी हमलों के लिए भूमिगत समुदायों में बुरे अभिनेता ऐसे टेम्पलेट साझा करते हैं जिनका अभिनेता बार-बार उपयोग करते हैं, यही कारण है कि बहुत से लोग एक ही प्रकार के फ़िशिंग ईमेल देख सकते हैं। चैटजीपीटी-जनित फ़िशिंग मेल उस अतिरेक से बचते हैं और इसलिए रक्षात्मक उपकरणों को दरकिनार करते हैं जो दुर्भावनापूर्ण टेक्स्ट स्ट्रिंग्स की पहचान करने पर भरोसा करते हैं।

“चैटजीपीटी के साथ, आप हर अभियान के लिए हर बार एक अद्वितीय ईमेल बना सकते हैं,” हैसोल्ड ने कहा।

एक अन्य उदाहरण में, हैसोल्ड ने चैटजीपीटी को एक ईमेल बनाने के लिए कहा, जिसमें एक लिंक पर क्लिक करने के लिए प्राप्तकर्ता को प्राप्त करने की उच्च संभावना थी।

उन्होंने कहा, “परिणामी संदेश कई क्रेडेंशियल फ़िशिंग ईमेल के समान दिखता है जो हम एब्नॉर्मल पर देखते हैं,” उन्होंने कहा (चित्रा बी).

चित्रा बी

जब एब्नॉर्मल सिक्योरिटी के जांचकर्ताओं ने बॉट से यह सवाल पूछा कि उसने क्यों सोचा कि ईमेल की उच्च सफलता दर होगी, तो उसने “फ़िशिंग ईमेल को प्रभावी बनाने के पीछे मुख्य सामाजिक इंजीनियरिंग सिद्धांतों का विवरण देते हुए एक लंबी प्रतिक्रिया दी।”

देखो: आर्टिफिशियल इंटेलिजेंस एथिक्स पॉलिसी (TechRepublic प्रीमियम)

BECs के लिए ChatGPT के उपयोग के विरुद्ध बचाव

जब प्राप्तकर्ताओं तक पहुँचने से पहले बीईसी हमलों को फ़्लैग करने की बात आती है, तो हैसोल्ड एआई से लड़ने के लिए एआई का उपयोग करने का सुझाव देता है, क्योंकि ऐसे उपकरण तथाकथित व्यवहार संबंधी कलाकृतियों के लिए स्काउट कर सकते हैं जो चैटजीपीटी के डोमेन का हिस्सा नहीं हैं। इसे समझने की आवश्यकता है:

• प्रेषक की पहचान के लिए मार्कर।
• प्रेषक और प्राप्तकर्ता के बीच वैध कनेक्शन का सत्यापन।
• ईमेल भेजने के लिए उपयोग किए जा रहे बुनियादी ढांचे को सत्यापित करने की क्षमता।
• ज्ञात प्रेषकों और संगठनात्मक भागीदारों से जुड़े ईमेल पते।

क्योंकि वे ChatGPT के तत्वावधान से बाहर हैं, Hassold ने नोट किया कि संभावित रूप से अधिक परिष्कृत सामाजिक इंजीनियरिंग हमलों की पहचान करने के लिए अभी भी AI सुरक्षा उपकरणों द्वारा उनका उपयोग किया जा सकता है।

“मान लें कि मुझे पता है कि सही ईमेल पता ‘जॉन स्मिथ’ से संचार करना चाहिए: यदि प्रदर्शन नाम और ईमेल पता संरेखित नहीं होते हैं, तो यह दुर्भावनापूर्ण गतिविधि का एक व्यवहारिक संकेत हो सकता है,” उन्होंने कहा। “यदि आप उस जानकारी को ईमेल के मुख्य भाग से संकेतों के साथ जोड़ते हैं, तो आप सही व्यवहार से अलग होने वाले कई संकेतों को ढेर करने में सक्षम हैं।”

देखो: आशय-आधारित बीईसी पहचान के साथ सुरक्षित कॉर्पोरेट ईमेल (टेक रिपब्लिक)

चैटजीपीटी: सोशल इंजीनियरिंग हमले

जैसा कि पटेल और सैटलर ने अपने पेपर में नोट किया है, GPT-3 और उस पर आधारित अन्य उपकरण सोशल इंजीनियरिंग के शोषण को सक्षम करते हैं जो “रचनात्मकता और संवादी दृष्टिकोण” से लाभान्वित होते हैं। उन्होंने बताया कि वे अलंकारिक क्षमताएं सांस्कृतिक बाधाओं को उसी तरह मिटा सकती हैं जैसे इंटरनेट साइबर अपराधियों के लिए भौतिक बाधाओं को मिटा देता है।

“GPT-3 अब अपराधियों को विभिन्न प्रकार के सामाजिक संदर्भों को वास्तविक रूप से अनुमानित करने की क्षमता देता है, जिससे किसी भी हमले को लक्षित संचार की आवश्यकता होती है,” उन्होंने लिखा।

दूसरे शब्दों में, लोग लोगों के प्रति बेहतर प्रतिक्रिया देते हैं – या वे चीजें जो वे सोचते हैं कि वे लोग हैं – वे मशीनों की तुलना में।

वीबेक्स में उत्पाद प्रबंधन के उपाध्यक्ष जोनो लुक के लिए, यह फ़िशिंग से लेकर अभद्र भाषा के प्रसारण तक, सभी स्तरों और सभी उद्देश्यों पर सामाजिक इंजीनियरिंग के कारनामों को तेज करने के लिए ऑटोरेग्रेसिव भाषा मॉडल द्वारा संचालित उपकरणों की क्षमता के आसपास एक बड़े मुद्दे की ओर इशारा करता है।

उन्होंने कहा कि दुर्भावनापूर्ण, गलत सामग्री को ध्वजांकित करने के लिए रेलिंग और शासन अंतर्निहित होना चाहिए, और वह दुर्भावनापूर्ण गतिविधि या दुर्भावनापूर्ण कोड को शामिल करने के लिए चैटजीपीटी जैसे प्रशिक्षण ढांचे के लिए एक लाल टीम/नीली टीम दृष्टिकोण की कल्पना करता है।

लुक ने 2009 के डेटा ब्रीच का हवाला देते हुए कहा, “हमें चैटजीपीटी के लिए एक समान दृष्टिकोण खोजने की जरूरत है, जो ट्विटर – एक दशक पहले – सरकार को उपयोगकर्ता डेटा की सुरक्षा के बारे में जानकारी प्रदान करके करता था।” एफटीसी के साथ समझौता।

चैटजीपीटी पर सफेद टोपी लगाना

Ford ने कम से कम एक सकारात्मक पहल की पेशकश की कि ChatGPT जैसे बड़े भाषा मॉडल गैर-विशेषज्ञों को कैसे लाभान्वित कर सकते हैं: क्योंकि यह विशेषज्ञता के स्तर पर एक उपयोगकर्ता के साथ जुड़ता है, यह उन्हें जल्दी सीखने और प्रभावी ढंग से कार्य करने के लिए भी सशक्त बनाता है।

“मॉडल जो एक इंटरफ़ेस को तकनीकी स्तर और अंतिम उपयोगकर्ता की जरूरतों के अनुकूल होने की अनुमति देते हैं, वास्तव में खेल को बदलने जा रहे हैं,” उन्होंने कहा। “एक ऐसे एप्लिकेशन में ऑनलाइन सहायता की कल्पना करें जो अनुकूलन करता है और प्रश्न पूछे जा सकते हैं। किसी विशेष भेद्यता के बारे में अधिक जानकारी प्राप्त करने और इसे कम करने के तरीके की कल्पना करें। आज की दुनिया में, यह बहुत काम है। कल, हम इसकी कल्पना कर सकते हैं कि हम अपने संपूर्ण सुरक्षा पारिस्थितिकी तंत्र के कुछ हिस्सों के साथ कैसे बातचीत करते हैं।

उन्होंने सुझाव दिया कि एक ही सिद्धांत उन डेवलपर्स के लिए सही है जो सुरक्षा विशेषज्ञ नहीं हैं, लेकिन बेहतर सुरक्षा प्रोटोकॉल के साथ अपने कोड का उपयोग करना चाहते हैं।

“चूंकि इन मॉडलों में कोड की समझ कौशल में सुधार होता है, यह संभव है कि एक रक्षक कोड के दुष्प्रभावों के बारे में पूछ सकता है और विकास भागीदार के रूप में मॉडल का उपयोग कर सकता है,” फोर्ड ने कहा। “सही ढंग से किया गया, यह उन डेवलपर्स के लिए भी वरदान हो सकता है जो सुरक्षित कोड लिखना चाहते हैं लेकिन सुरक्षा विशेषज्ञ नहीं हैं। मुझे ईमानदारी से लगता है कि आवेदनों की सीमा बहुत बड़ी है।

चैटजीपीटी को सुरक्षित बनाना

यदि एआई मॉडल उत्पन्न करने वाली प्राकृतिक भाषा खराब सामग्री बना सकती है, तो क्या वह उस सामग्री का उपयोग शोषण के प्रति अधिक लचीला बनाने या दुर्भावनापूर्ण जानकारी का बेहतर पता लगाने में मदद करने के लिए कर सकती है?

पटेल और सैटलर सुझाव देते हैं कि GPT-3 सिस्टम से आउटपुट का उपयोग दुर्भावनापूर्ण सामग्री वाले डेटासेट उत्पन्न करने के लिए किया जा सकता है और फिर इन सेटों का उपयोग ऐसी सामग्री का पता लगाने के तरीकों को तैयार करने के लिए किया जा सकता है और यह निर्धारित किया जा सकता है कि पहचान तंत्र प्रभावी हैं या नहीं – सभी सुरक्षित मॉडल बनाने के लिए।

हिरन आईटी डेस्क पर रुक जाता है, जहां साइबर सुरक्षा कौशल उच्च मांग में हैं, एआई हथियारों की दौड़ में कमी आने की संभावना है। अपने कौशल को उन्नत करने के लिए, इस चीट शीट को देखें कि साइबर सुरक्षा समर्थक कैसे बनें।