پرونده / آیا چت جی‌پی‌تی تهدید بزرگ امنیت سایبری خواهد شد؟

پرونده / آیا  چت جی‌پی‌تی تهدید بزرگ امنیت سایبری خواهد شد؟
تاریخ انتشار : ۲۵ بهمن ۱۴۰۱

چت جی‌پی‌تی، بدافزارنویس نیست و به خاطر حواشی زیادی که پیرامون آن هست، تشخیص واقعیت‌ها از شایعات برای همه سخت شده است.

به گزارش گرداب، وقتی مجموعه‌ی اوپن اِی‌آی (OpenAI) در ماه نوامبر، چت جی‌پی‌تی را منتشر کرد، برنامه‌نویس‌های سراسر جهان را شگفت زده کرد، چرا که این چت بات (ChatBot) که مبتنی بر هوش مصنوعی بود، نه تنها می‌توانست بسیاری از مدل‌های گفتاری انسان را تقلید کند، بلکه حتی می‌توانست کد بنویسد! چند روز پس از انتشار این خبر، برنامه‌نویسان نمونه‌هایی از کد‌های جالبی که چت جی‌پی‌تی می‌نوشت را منتشر کردند.

چت جی‌پی‌تی از اتصال سرویس‌های ابری (Cloud) به یک‌دیگر گرفته تا پورت کردن پایتون (Python) به راست (Rust)، توانسته حداقل بعضی از برنامه نویسی‌های پایه را به خوبی انجام دهد.
اما خب، با این همه هیجان و حواشی‌هایی که دور چت جی‌پی‌تی را گرفته، تشخیص واقعیت از دروغ، کار چندان ساده‌ای نیست. توانایی‌های کدنویسی آن، باعث شده تا خیلی از خبرها، درباره‌اش سرتیتر‌های جنجالی و داغ بنویسند. مثلا یکی از آن‌ها چنین چیزی نوشته است: «چت جی‌پی‌تی برای امنیت سایبری، تهدیدی به مراتب بزرگ‌تر از انتظار مردم است». این سرتیترها، از توانایی بالای چت جی‌پی‌تی در نوشتن بدافزار‌ها خبر می‌دهند و باعث شده‌اند هکر‌های باتجربه، ندانند که دقیقا تا چه حد می‌شود از مدل‌های زبانی بزرگ، برای هک‌های مخرب، استفاده کرد.

مارکوس هاچینز (Marcus Hutchins)، هکر کلاه سیاهی که بعد‌ها کلاه سفید شد، در سال ۲۰۱۷ به خاطر جلوگیری از گسترش باج‌افزار واناکرای (WannaCry)، سرتیتر خبر‌ها شد و به خاطر تجربه‌ای که قبلا در نوشتن تروجان‌های بانکی داشت، او هم درباره‌ی توانایی‌های چت جی‌پی‌تی کنجکاو بود و از خودش می‌پرسید که آیا چت بات‌ها واقعا می‌توانند بدافزار بنویسند؟

نتایج، ناامیدکننده بود. هاچینز که بیشتر با اسم مستعار فصای مجازی خود یعنی مَلوِرتِک (MalwareTech) شناخته می‌شد، در مصاحبه‌ی خود با سایبراسکوپ (CyberScoop) گفت: «منی که به مدت ده سال برنامه‌نویس بدافزار بودم، سه ساعت طول کشید تا چند خط کد درست و درمان به دست بیاورم، آن هم در پایتون»!

پس از ساعت‌ها بازی کردن با چت جی‌پی‌تی، هاچینز توانست اجزای یک برنامه‌ی باج‌افزار را بنویسد، اما زمانی که تلاش می‌کرد با این اجزا یک بدافزار کامل بسازد، چت جی‌پی‌تی کم آورد و بعد از این که هاچینز سعی می‌کرد فایل را باز کند، برنامه دوباره درخواست باز کردن فایل می‌داد. وقتی هم که سعی کرد اجزای مختلف برنامه را با هم ترکیب کند، چت جی‌پی‌تی باز هم نتوانست نتیجه‌ی مطلوبی بدهد.

این مشکلات ابتدایی، نشان داد که سیستم‌های هوش مصنوعی مولد مثل همین چت جی‌پی‌تی، هنوز هم کم و کاستی‌هایی دارند. با این که مدل‌های بزرگ زبانی می‌توانند محتوایی که به آن‌ها آموزش داده شده را تولید کنند، اما اغلب ابزار‌های تصحیح خطا و درک مفهوم (که مهم‌ترین شاخص متخصص بودن در این زمینه است) را ندارند. متاسفانه در میان واکنش‌ها و حیرت مردم، دیگر محدودیت‌های چت جی‌پی‌تی به چشم نمی‌آید.

البته یک سری حواشی‌ها درباره‌ی توانایی‌های چت جی‌پی‌تی درست است. مثلا از پس کار‌های اداری، مقالات دانشگاهی و حتی توسعه‌ی بدافزار‌ها بر می‌آید. اما اگر بخواهید همه‌ی شایعه‌ها را باور کنید، یادتان می‌رود که چت جی‌پی‌تی نه به عنوان جایگزینی برای تخصص‌های انسانی، که به عنوان دستیار انسان در انجام کار‌ها به وجود آمده است!

در هفته‌های بعد از انتشار چت جی‌پی‌تی، شرکت‌های امنیت سایبری گزارش‌های زیادی مبنی بر مخرب بودن این بات منتشر کردند. این شرکت‌ها می‌گفتند که چت جی‌پی‌تی ممکن است برای نوشتن کد‌های مخرب استفاده شود و در راستای همین موضوع هم سرتیتر‌های جالبی نوشتند. مثلا یکی از آن‌ها این گونه نوشته بود: «چت جی‌پی‌تی، بدافزاری هزارچهره»! اما این گزارش‌ها دیگر درباره‌ی نقش برنامه نویس‌ها در ترغیب این ربات به نوشتن کد و مهم‌تر از همه، اصلاح کدی که تولید می‌کند، چیزی نگفتند.

در ماه دسامبر، محققان مجموعه‌ی چک‌پوینت (Checkpoint) به مردم نشان دادند که چت جی‌پی‌تی چگونه می‌تواند از ساختن ایمیل‌های فیشینگ گرفته تا نوشتن کد‌های مخرب را خودش انجام دهد. اما برای نوشتن یک کد کامل و بی‌عیب، چت جی‌پی‌تی باید یک سری چیز‌هایی که فقط یک برنامه نویس خبره می‌توانست به آن‌ها فکر کند، مثلا ویژگی‌های تشخیص سندباکس (Sandbox) را هم در نظر می‌گرفت.

سرگی شیکویچ (Sergey Shykevich)، یکی از محققان مجموعه‌ی چک‌پوینت می‌گوید: «متجاوز‌های سایبری باید بدانند دقیقا چه می‌خواهند و بتوانند کاربرد خواسته‌ی خود را هم مشخص کنند. اگر فقط به چت جی‌پی‌تی فرمان نوشتن کد‌های بدافزاری بدهید، چیزی عایدتان نمی‌شود».

برای هکر‌هایی مثل هاچینز، نصف راه نوشتن نرم‌افزار، این است که بدانند اصلا باید چه چیز‌هایی را زیر سوال ببرند. متاسفانه بسیاری از خبر‌های پیرامون چت جی‌پی‌تی، به این که یک برنامه‌نویس حرفه‌ای تا چه حد روی توسعه‌ی برنامه‌ها و نرم‌افزار‌ها تاثیر دارد، اشاره‌ای نمی‌کنند.
هاچینز می‌گوید: «کسانی که مفهوم توسعه دادن و برنامه‌نویسی را می‌فهمند، با برنامه‌هایی که می‌نویسند، مهارت‌های خود را نشان می‌دهند و حتی خودشان هم متوجه نمی‌شوند که تا چه حد دارند در این حوزه مشارکت می‌کنند. کسی که هیچ تجربه‌ای از برنامه‌نویسی نداشته باشد، حتی نمی‌داند که باید چه مولفه‌هایی در چت جی‌پی‌تی وارد کند».

در حال حاضر، چت جی‌پی‌تی تنها یکی از هزاران ابزار موجود برای توسعه‌ی بدافزار‌ها است. در گزارشی که هفته‌ی گذشته منتشر شد، شرکت امنیتی ریکوردِد فیوچر (Recorded Future) بیش از ۱۵۰۰ ارجاع به دارک وب و انجمن‌های بسته (Closed Forums) را با استفاده از همین چت جی‌پی‌تی برای توسعه‌ی بدافزار‌ها و نوشتن کد‌های آزمون ایده (Proof-of-concept) گزارش کرد. در این گزارش نوشته شده که بسیاری از این کد‌ها برای عموم مردم در دسترس هستند و این شرکت، اعتقاد دارد که چت جی‌پی‌تی بیشتر به درد باج‌افزارها، کلاهبرداران و اسپمرها، دزد‌های اطلاعات کارت‌های بانکی و متجاوزان سایبری که جرایم کوچک انجام می‌دهند، می‌خورد.

چت جی‌پی‌تی می‌تواند به مجرم‌های تازه‌کار، کمک کند. در پایان گزارش شرکت ریکوردد فیوچرز، این گونه نوشته شده بود: «چت جی‌پی‌تی دارد با ارائه‌ی مثال‌های واقعی، آموزش‌ها و منابع مختلف، توسعه‌ی بدافزار را برای مجرم‌هایی که نمی‌دانند باید از کجا شروع کنند، راحت‌تر می‌کند».

اما در مجموع، مزایایی که چت جی‌پی‌تی برای هکر‌های مخرب ارائه می‌دهد، کوچک و حاشیه‌ای است. درست است که چت جی‌پی‌تی یک سری اطلاعات اولیه را در اختیار همگان قرار می‌دهد، اما این اطلاعات را می‌شود خیلی راحت در گوگل هم سرچ کرد. با گذر زمان و پیشرفته‌تر شدن زبان‌های بزرگ دنیا، توانایی مدل‌های مختلف در نوشتن کد‌های اورجینال (حالا چه مخرب و چه معمولی) هم بالا می‌رود. حالا تا آن موقع، چت جی‌پی‌تی و امثال آن، بیشتر نقش کمکی و ساپورتر دارند تا مخرب بودن.

مثلا چت جی‌پی‌تی، ساختن ایمیل‌های فیشینگ را برای بقیه راحت‌تر می‌کند. همچنین می‌تواند مهارت‌های نوشتاری هکر‌های روسی زبانی که ممکن است برای نوشتن پیام‌های کلیک کردنی به زبان انگلیسی یا هر زبان دوم دیگری مشکل داشته باشند را بالا ببرد. عاصف سیدون (Asaf Cidon)، استادیار علوم کامپیوتر در دانشگاه کلمبیا (Columbia University) و مشاور شرکت امنیت سایبری باراکودا (Barracuda) می‌گوید: «بیشتر حملات سایبری، از ایمیل‌ها سرچشمه می‌گیرد. اکثر این حملات ایمیلی، اصلا حملات بدافزاری نیستند. بلکه کاربر را گول می‌زنند و اطلاعات بانکی و اعتبارش را می‌دزدند. حالا چت جی‌پی‌تی این کار را برای افراد سودجو، از همیشه آسان‌تر کرده است».

اما این قضیه، انقلابی در حوزه‌ی هک نیست، بلکه فقط حاکی از تغییرات جدید پیش‌ِ‌رو است. در حال حاضر ایمیل‌های فیشینگ، به راحتی توسط مجرم‌های سایبری یا با استخدام یک مترجم ساخته می‌شوند. اما چت جی‌پی‌تی می‌تواند تعداد بیشتری از این ایمیل‌ها را در مدت کوتاه‌تر، بسازد.
به گفته‌ی سیدون، اگر یک مجرم سایبری به آرشیو ایمیل‌ها دسترسی داشته باشد، ممکن است از چت جی‌پی‌تی سوءاستفاده کند و مثلا سبک نوشتن مدیرعامل یا رئیس یک شرکت را کپی کند تا کارمندان را راحت‌تر گول بزند.

اما کارشناسان اعتقاد دارند که هنگام ارزیابی کلی‌تر تاثیر چت جی‌پی‌تی روی امنیت سایبری، باید بیشتر روی اصل قضیه تمرکز کنیم. چت جی‌پی‌تی به‌جز برای آن چند هدف کوچکی که پیش‌تر گفتیم، برای اکثر هدف‌ها، شانس موفقیت آنچنان بالایی ندارد. همان‌طور که درو لوهان (Drew Lohn)، محقق مرکز امنیت و فناوری جورج‌تاون (Georgetown) می‌گوید: «فیشینگ در حال حاضر آن قدری موفق هست که بود و نبود چت جی‌پی‌تی، تفاوت چندانی برایش ایجاد نکند».

در کل، وجود ابزار‌هایی مثل چت جی‌پی‌تی، باعث افزایش تعداد افراد سودجو و خطرناک می‌شود. به گفته‌ی لوهان، چت جی‌پی‌تی به هکر‌ها کمک می‌کند تا راحت‌تر به هرجایی که بخواهند، نفوذ کنند، آن هم حتی بدون نوشتن هیچ بدافزار جدیدی.

هزاران ابزار بدافزاری وجود دارد که عموم مردم از آن‌ها هیچ خبری ندارند. ترس ما از این است که نکند چت جی‌پی‌تی، همه را با این ابزار‌های بدافزاری آشنا کند. اما باز هم، باتوجه پیشرفت روزافزون این حوزه، ممکن است امروز چشم خود را ببندیم و فردا که بیدار شدیم، همه چیز تغییر کرده باشد.