Bilgisayar korsanları, kötü amaçlı yazılımlara yönelik ChatGPT kısıtlamalarını aşan bir hizmet satıyor

Araştırmacılar Çarşamba günü yaptığı açıklamada, bilgisayar korsanlarının ChatGPT’nin kısıtlamalarını aşmanın bir yolunu bulduğunu ve bunu insanların kötü amaçlı yazılım ve kimlik avı e-postaları oluşturmasına olanak tanıyan hizmetleri satmak için kullandığını söyledi.

ChatGPT, soruları yanıtlamak ve görevleri insan çıktısını taklit edecek şekilde gerçekleştirmek için yapay zeka kullanan bir sohbet robotudur. İnsanlar onu belge oluşturmak, temel bilgisayar kodu yazmak ve başka şeyler yapmak için kullanabilir. Hizmet, potansiyel olarak yasa dışı içerik oluşturmaya yönelik istekleri aktif olarak engeller. Hizmetten saldırıya uğramış bir cihazdan veri çalmak için kod yazmasını veya bir kimlik avı e-postası oluşturmasını isteyin; hizmet reddedecek ve bunun yerine bu tür içeriğin “yasa dışı, etik dışı ve zararlı” olduğu yanıtını verecektir.

Pandora’nın Kutusunu Açmak

Güvenlik şirketi Check Point Research’ten araştırmacılar, bilgisayar korsanlarının bu kısıtlamaları aşmanın basit bir yolunu bulduklarını ve bunu bir yeraltı suç forumunda yasa dışı hizmetleri satmak için kullandıklarını ortaya koydu. bildirildi. Teknik, web tabanlı arayüz yerine ChatGPT uygulama programlama arayüzü kullanılarak çalışır. ChatGPT, AI botunu uygulamalarına entegre edebilmeleri için API’yi geliştiricilerin kullanımına sunar. Görünüşe göre API sürümü, kötü amaçlı içerik üzerinde kısıtlamalar uygulamıyor.

Araştırmacılar, “OpenAI’nin API’sinin mevcut sürümü, harici uygulamalar tarafından kullanılıyor (örneğin, OpenAI’nin GPT-3 modelinin Telegram kanallarına entegrasyonu) ve varsa çok az sayıda kötüye kullanım önleme önlemi var” diye yazdı araştırmacılar. “Sonuç olarak, ChatGPT’nin kullanıcı arabiriminde belirlediği sınırlamalar veya engeller olmaksızın, kimlik avı e-postaları ve kötü amaçlı yazılım kodu gibi kötü amaçlı içerik oluşturulmasına izin veriyor.”

Bir forumdaki bir kullanıcı, şimdi API ile Telegram mesajlaşma uygulamasını birleştiren bir hizmet satıyor. İlk 20 sorgu ücretsizdir. O andan itibaren kullanıcılardan her 100 sorgu için 5,50 ABD doları ücret alınır.

Check Point araştırmacıları, ne kadar iyi çalıştığını görmek için bypass’ı test etti. Sonuç: bir kimlik avı e-postası ve virüslü bir bilgisayardan PDF belgelerini çalan ve FTP aracılığıyla bir saldırgana gönderen bir komut dosyası.

Bu arada diğer forum katılımcıları, ücretsiz olarak kötü amaçlı içerik oluşturan kodlar yayınlıyor. Bir kullanıcı, “İşte, ChatGPT’yi kötü amaçlı yazılım geliştirme de dahil olmak üzere istediğiniz her şey için kullanmanız için kısıtlamaları aşmanıza yardımcı olacak küçük bir bash betiği ;)” diye yazdı.

Geçen ay Check Point araştırmacıları, ChatGPT’nin kötü amaçlı yazılım ve kimlik avı mesajları yazmak için nasıl kullanılabileceğini belgeledi.

“Aralık-Ocak döneminde, kötü amaçlı yazılım ve kimlik avı e-postaları oluşturmak için ChatGPT web kullanıcı arayüzünü kullanmak hâlâ kolaydı (çoğunlukla yalnızca temel yineleme yeterliydi) ve siber suçluların gevezeliklerine dayanarak, gösterdiğimiz örneklerin çoğunun oluşturulduğunu varsayıyoruz. Check Point araştırmacısı Sergey Shykevich bir e-postada web kullanıcı arayüzünü kullanıyor. “Son zamanlarda, ChatGPT’deki kötüye kullanımı önleme mekanizmaları önemli ölçüde iyileştirilmiş gibi görünüyor, bu nedenle siber suçlular artık çok daha az kısıtlamaya sahip olan API’sine geçti.”

ChatGPT’yi geliştiren San Francisco merkezli şirket OpenAI’nin temsilcileri, şirketin araştırma bulgularından haberdar olup olmadığını veya API arayüzünü değiştirmeyi planlayıp planlamadığını soran bir e-postaya hemen yanıt vermedi. Bir yanıt alırsak bu gönderi güncellenecektir.

Kötü amaçlı yazılım ve kimlik avı e-postalarının oluşturulması, ChatGPT’nin dünyayı zararlı içerikle bombalayabilecek bir Pandora’nın kutusunu açmasının yalnızca bir yoludur. Güvenli olmayan veya etik olmayan kullanımların diğer örnekleri, mahremiyetin ihlali ve yanlış bilgi veya okul ödevlerinin oluşturulmasıdır. Tabii ki, zararlı, etik olmayan veya yasa dışı içerik üretme yeteneği, savunucular tarafından bu içeriği tespit etme ve engelleme yolları geliştirmek için kullanılabilir, ancak iyi niyetli kullanımların kötü niyetli olanlara ayak uydurup uyduramayacağı belli değil.