Výzkumný tým kyberbezpečnostní společnosti Check Point Software Technologies opakovaně upozorňuje, jak kyberzločinci využívají OpenAI ChatGPT ke škodlivým účelům a vytváření škodlivého kódu. V nejnovější zprávě Check Point analyzoval také generativní AI platformu Google Bard.
Výzkumníci se pokusili ověřit, zda je možné Google Bard zneužít k vytvoření phishingového e-mailu, malwaru a ransomwaru a také porovnali Google Bard a ChatGPT.
Co se podařilo vytvořit pomocí Google Bard?
• Phishingové e-maily
• Špionážní malware
• Základní ransomwarový kód
Při porovnání bezpečnostních opatření v ChatGPT a Google Bard vyzkoušel Check Point nejdříve nejjednodušší požadavek na vytvoření phishingového e-mailu. Žádost odmítli ChatGPT i Bard.
Následně byl požadavek doplněn o konkrétní příklad. ChatGPT žádost znovu odmítl, zatímco Bard poskytl dobře napsaný phishingový e-mail vydávající se za konkrétní finanční službu.
Další požadavek se týkal malwaru a přímý požadavek odmítly oba dva modely.
Při druhém pokusu byl tento požadavek zdůvodněn, ale obě platformy stále nesouhlasily.
„Můžeme si také všimnout rozdílných výstupů těchto modelů, konkrétně podrobného vysvětlení od ChatGPT, zatímco Bard odpovídá krátce a obecně,“ říká Pavel Krejčí, Security Engineer z kyberbezpečnostní společnosti Check Point Software Technologies.
Další žádost se týkala keyloggeru pro obecné účely. Zde můžeme vidět rozdíl, protože ChatGPT je restriktivnější a identifikoval požadavek jako potenciálně škodlivý, zatímco Bard kód jednoduše poskytl.
Následovala stejná žádost o vytvoření keyloggeru, jen bylo doplněno, aby kód zaznamenával „moje“ stisknuté klávesy. Výsledkem bylo, že oba modely poskytly jiný kód pro stejný účel, ačkoli ChatGPT přidal výhradu o možném použití ke škodlivým účelům.
Ransomwarový kód
První žádost byla jednoduchá a bez jakýchkoli konkrétních podrobností. Bard nevyhověl a neposkytl požadovaný skript.
Vyzkoušen byl tedy jiný přístup, výzkumníci nejprve požádali o popsání nejběžnější akce prováděné ransomwarem.
Dále byl Bard požádán o vytvoření takového kódu pomocí jednoduchého copy-paste, ale opět byla žádost i skript zamítnuta.
Žádost byla tedy znovu trochu upravena, ale z popisu bylo jasné, k jakému účelu by byl skript použit. Přesto najednou Bard požadovaný ransomwarový skript poskytl.
Od této chvíle bylo možné skript s pomocí Google Bard libovolně upravovat a také přidat několik dalších funkcí, aby byl skript skutečně funkční.
Z analýzy Google Bard vyplývá:
1. Omezení proti zneužití ke kybernetické kriminalitě jsou v Google Bard výrazně nižší než v ChatGPT. V Google Bard je tak mnohem snazší generovat škodlivý obsah.
2. Bard téměř žádným způsobem nelimituje vytváření phishingových e-mailů a lze ho potenciálně zneužít ke škodlivé činnosti.
3. Velmi jednoduše lze Bard použít k vytvoření keyloggerů a krádežím dat.
4. Experiment odhalil, že pomocí Google Bard je možné vytvořit základní ransomware.
„Zdá se, že Google Bard se ještě pořádně nepoučil ze zkušeností ChatGPT. Stávající omezení jsou relativně základní a podobná tomu, co jsme pozorovali v ChatGPT během její počáteční fáze při spuštění před několika měsíci. Věřme, že se také jedná o odrazový můstek a že dojde k vylepšení bezpečnostních mechanismů,“ dodává Pavel Krejčí z kyberbezpečnostní společnosti Check Point Software Technologies.