Η ραγδαία πρόοδος της Τεχνητής Νοημοσύνης (Artificial Intelligence) τα τελευταία χρόνια έχει γίνει ευρύτερα αντιληπτή από όλους, ακόμα και από αυτούς που διαθέτουν περιορισμένη γνώση σε θέματα Πληροφορικής. Τα οφέλη που έχουν προκύψει από αυτές τις εξελίξεις είναι πολλαπλά και διαχέονται σε κάθε τομέα των ανθρώπινων δραστηριοτήτων. Η Τεχνητή Νοημοσύνη αποτελεί έναν από τους βασικούς, αν όχι το βασικότερο, πυλώνα της 4ης Βιομηχανικής Επανάστασης που εξελίσσεται μπροστά μας. Ωστόσο, όπως κάθε τεχνολογικό επίτευγμα, έτσι και η Τεχνητή Νοημοσύνη μπορεί να έχει τόσο θετικές όσο και αρνητικές επιπτώσεις. Για το λόγο αυτό είναι σημαντικό οι ειδικοί της κυβερνοασφάλειας να εστιάσουν εγκαίρως σε πιθανές κακόβουλες χρήσης της.
Γράφει ο Βασίλης Βλάχος
Αναπληρωτής Καθηγητής στο Τμήμα Οικονομικών Επιστημών
του Πανεπιστημίου Θεσσαλίας.
Οι εφαρμογές του OpenAI και ειδικότερα το ChatGPT είναι από τα χαρακτηριστικότερα παραδείγματα των ατελείωτων δυνατοτήτων που παρέχουν οι αλγόριθμοι Βαθιάς Μάθησης (Deep Learning) σε όλους τους τομείς και για αυτό συγκέντρωσαν τεράστιο ενδιαφέρον τις τελευταίες εβδομάδες. Η μηχανή αυτή μπορεί να απαντήσει σε σύνθετα ερωτήματα παρέχοντας συνήθως, αλλά όχι πάντα, ορθές απαντήσεις σε μορφή κειμένου αλλά και κώδικα για κάθε θέμα που απαιτεί ιδιαίτερη εξειδίκευση. Σε αυτό το σύντομο άρθρο θα εστιάσουμε στη δυνατότητα του ChatGPT να δημιουργεί κώδικα βασιζόμενο στις απαιτήσεις των εκάστοτε εντολέων του. Η λειτουργικότητα αυτή είναι προφανώς ιδιαίτερη χρήσιμη σε νεότερους αλλά και εμπειρότερους προγραμματιστές. Από την άλλη όμως δημιουργεί και ένα πλήθος προβλημάτων κυβερνοασφάλειας όταν γίνεται κακόβουλη χρήση της.
Ειδικότερα το API του ChatGPT θα μπορούσε να χρησιμοποιηθεί από τους κυβερνοεγκληματίες στο να δημιουργεί εύκολα και γρήγορα πολλαπλές εκδόσεις κακόβουλου κώδικα που είναι δύσκολο να γίνουν άμεσα αντιληπτές από τα αντιιικά προγράμματα (AntiViruses) προκειμένου να διαπερνούν τεχνολογίες όπως η Ανίχνευση μέσω Υπογραφών (Signature Based Detection) που αποτελεί το βασικό μηχανισμό εντοπισμού κακόβουλου λογισμικού. Η τεχνική αυτή είναι γνωστή ως “πολυμορφισμός” και μέχρι τώρα μπορούσε να αυτοματοποιηθεί μόνο με τις υπάρχουσες πλατφόρμες κατασκευής κακόβολου λογισμικού (malware kits). Πλέον αυτό γίνεται προσιτό σε πολύ μεγαλύτερη μάζα black hat hackers που ενδεχομένως δεν έχουν πρόσβαση σε αυτά τα εργαλεία λόγω του κόστους τους καθότι χρειάζονται ειδικές διασυνδέσεις αλλά και χρήματα ώστε να τα αποκτήσει κάποιος από τις διάφορες Μαύρες Αγορές (Black Markets) στο βαθύ δίκτυο (Deep Web).
Λιγότερο προχωρημένοι hackers που διαθέτουν αρκετές γνώσεις προγραμματισμού, χρησιμοποιούν το ChatGPT προκειμένου να κατασκευάσουν γρηγορότερα και ευκολότερα διάφορες μορφές κακόβουλου λογισμικού όπως το ransomware. Αν και το ChatGPT είναι προγραμματισμένο να αποτρέπει κακόβουλες λειτουργίες είναι σχετικά εύκολο με τα κατάλληλα ερωτήματα να “συναρμολογηθεί” ένα κακόβουλο λογισμικό. Για παράδειγμα, αν κάποιος επιθυμεί να δημιουργήσει ένα απλό ransomware θα μπορούσε να αναζητήσει στο ChatGPT κάποιο script για τη δημιουργία μακροεντολών του Excel που να μεταφορτώνουν από το Διαδίκτυο και να εκτελούν αυτόματα κάποιο εκτελέσιμο αρχείο στο Excel. Μετέπειτα με ένα άλλο ερώτημα θα μπορούσε να λάβει κώδικα για να κατασκευάζει ρουτίνες για τη δημιουργία δημόσιων και ιδιωτικών κλειδιών σύμφωνα με τις αρχές της κρυπτογραφίας PKI (Public Key Infrastructure) καθώς και τον κώδικα που κρυπτογραφεί με αυτά τα κλειδιά και κάποιο προκαθορισμένο συνθηματικό (hardcoded password) το σύνολο των αρχείων ενός υπολογιστή που έχουν ειδικότερη αξία (όπως πχ αρχεία Excel και Word). Ακολούθως μπορεί να ζητήσει τον κατάλληλο κώδικα για επιτύχει την αποστολή των αρχείων αυτών σε κάποιον εξυπηρετητή με τεχνικές reverse shell και τέλος να δημιουργήσει ένα απλό πορτοφόλι κρυπτονομισμάτων, ώστε να το χρησιμοποιήσει για να λαμβάνει τα λύτρα για την αποκρυπτογράφηση των αρχείων. Συνδυαστικά όλα τα διαφορετικά κομμάτια αυτού του κώδικα που προέρχονται από το ChatGPT αποτελούν ένα πρωτόλειο ransomware που θα μπορούσε να βελτιωθεί περαιτέρω χειροκίνητα και να προκαλέσει μεγάλα προβλήματα αν χρησιμοποιηθεί από επίδοξους κυβερνοεγκληματίες.
Πόσο αθώα είναι η χρήστη του ChatGPT;
Τέτοια “κατασκευάσματα” δε θα αργήσουν να γίνουν διαθέσιμα ακόμα και σε εντελώς αρχάριους χρήστες που θέλουν να ενταχθούν σε διάφορες υπόγειες κοινότητες hackers (underground hacker communities). Μια νέα γενιά script kiddies θα εμφανιστεί διαθέτοντας ισχυρά και καταστροφικά εργαλεία στα χέρια της. Όπως έχει δείξει το παρελθόν ακόμα και αν τα script kiddies δε διαθέτουν τις απαιτούμενες δεξιότητες για να πλήξουν καλά φυλασσόμενες ψηφιακές υποδομές μπορούν να προκαλέσουν τεράστια προβλήματα στα χέρια ανθρώπων που δεν αντιλαμβάνονται τις επιπτώσεις των πράξεων τους.
Σε πολλές περιπτώσεις ακόμα και ο “αθώος” πειραματισμός με κώδικα που δεν κατανοεί πλήρως ο δημιουργός του ή δεν έχει υπολογίσει πλήρως τις συνέπειες της εκτέλεσης του στο Διαδίκτυο όπως στην περίπτωση του Morris Worm μπορεί να προκαλέσει καταστροφικές βλάβες και δυσλειτουργίες.
Ακόμα όμως και από την πλέον αθώα χρήση του ChatGPT, δηλαδή από προγραμματιστές που το χρησιμοποιούν για να βοηθηθούν στην ανάπτυξη καλόβουλων προγραμμάτων, εγκυμονούν σοβαροί κίνδυνοι. Ο κώδικας που παράγεται από πλατφόρμες Τεχνητής Νοημοσύνης μπορεί να λειτουργεί φαινομενικά σωστά αλλά ταυτόχρονα να εμπεριέχει σφάλματα και ευπάθειες. Συνεπώς, αν άκριτα υιοθετηθεί η χρήση αυτομάτων τεχνολογιών παραγωγής κώδικά από ανάλογες πλατφόρμες, θα επιστρέψουμε στην εποχή που τα περισσότερα προγράμματα είχαν εγγενώς πολλαπλά κενά ασφάλειας καθότι είχαν αναπτυχθεί χωρίς να λαμβάνεται υπόψιν η ασφάλεια τους και χωρίς να ακολουθούνται μεθοδολογίες όπως η Ασφαλής Ανάπτυξη Κώδικα (Secure Code Development), ο εκτεταμένος έλεγχος της ασφάλειας του (Code Testing) αλλά και οι σύγχρονες καλές πρακτικές για τη δημιουργία ποιοτικού κώδικα (Code Quality).
Με άλλα λόγια το μέλλον της Τεχνολογίας Λογισμικού βασισμένο στην Τεχνητή Νοημοσύνη μπορεί να θυμίζει πάρα πολύ τις αρχές της χιλιετίας όπου εκατοντάδες εφαρμογές αλλά και λειτουργικά συστήματα που διασυνδέθηκαν στο Διαδίκτυο, βρέθηκαν εκτεθειμένα σε πολλαπλούς κινδύνους από τη μην ενσωμάτωση σε αυτά της Ασφάλειας ως μιας βασικής μη λειτουργικής απαίτησης.
Οι προκλήσεις είναι τεράστιες και η κοινότητα των ειδικών κυβερνοασφάλειας πρέπει να μεριμνήσει άμεσα για την αντιμετώπιση τους. Παραδόξως η λύση σε αυτό το πρόβλημα είναι η και η αιτία δημιουργίας του. Οι εταιρίες κυβερνοασφάλειας μπορούν αξιοποιώντας της τεχνολογίες Τεχνητής Νοημοσύνης και Μηχανικής Μάθησης να δημιουργήσουν καινοτόμα προϊόντα που να αυτοματοποιούν σε τεράστιο βαθμό τις διαδικασίες της ανάλυσης και του εντοπισμού των κακόβουλων δραστηριοτήτων.