چت جیپیتی، بدافزارنویس نیست و به خاطر حواشی زیادی که پیرامون آن هست، تشخیص واقعیتها از شایعات برای همه سخت شده است.
به گزارش گرداب، وقتی مجموعهی اوپن اِیآی (OpenAI) در ماه نوامبر، چت جیپیتی را منتشر کرد، برنامهنویسهای سراسر جهان را شگفت زده کرد، چرا که این چت بات (ChatBot) که مبتنی بر هوش مصنوعی بود، نه تنها میتوانست بسیاری از مدلهای گفتاری انسان را تقلید کند، بلکه حتی میتوانست کد بنویسد! چند روز پس از انتشار این خبر، برنامهنویسان نمونههایی از کدهای جالبی که چت جیپیتی مینوشت را منتشر کردند.
چت جیپیتی از اتصال سرویسهای ابری (Cloud) به یکدیگر گرفته تا پورت کردن پایتون (Python) به راست (Rust)، توانسته حداقل بعضی از برنامه نویسیهای پایه را به خوبی انجام دهد.
اما خب، با این همه هیجان و حواشیهایی که دور چت جیپیتی را گرفته، تشخیص واقعیت از دروغ، کار چندان سادهای نیست. تواناییهای کدنویسی آن، باعث شده تا خیلی از خبرها، دربارهاش سرتیترهای جنجالی و داغ بنویسند. مثلا یکی از آنها چنین چیزی نوشته است: «چت جیپیتی برای امنیت سایبری، تهدیدی به مراتب بزرگتر از انتظار مردم است». این سرتیترها، از توانایی بالای چت جیپیتی در نوشتن بدافزارها خبر میدهند و باعث شدهاند هکرهای باتجربه، ندانند که دقیقا تا چه حد میشود از مدلهای زبانی بزرگ، برای هکهای مخرب، استفاده کرد.
مارکوس هاچینز (Marcus Hutchins)، هکر کلاه سیاهی که بعدها کلاه سفید شد، در سال ۲۰۱۷ به خاطر جلوگیری از گسترش باجافزار واناکرای (WannaCry)، سرتیتر خبرها شد و به خاطر تجربهای که قبلا در نوشتن تروجانهای بانکی داشت، او هم دربارهی تواناییهای چت جیپیتی کنجکاو بود و از خودش میپرسید که آیا چت باتها واقعا میتوانند بدافزار بنویسند؟
نتایج، ناامیدکننده بود. هاچینز که بیشتر با اسم مستعار فصای مجازی خود یعنی مَلوِرتِک (MalwareTech) شناخته میشد، در مصاحبهی خود با سایبراسکوپ (CyberScoop) گفت: «منی که به مدت ده سال برنامهنویس بدافزار بودم، سه ساعت طول کشید تا چند خط کد درست و درمان به دست بیاورم، آن هم در پایتون»!
پس از ساعتها بازی کردن با چت جیپیتی، هاچینز توانست اجزای یک برنامهی باجافزار را بنویسد، اما زمانی که تلاش میکرد با این اجزا یک بدافزار کامل بسازد، چت جیپیتی کم آورد و بعد از این که هاچینز سعی میکرد فایل را باز کند، برنامه دوباره درخواست باز کردن فایل میداد. وقتی هم که سعی کرد اجزای مختلف برنامه را با هم ترکیب کند، چت جیپیتی باز هم نتوانست نتیجهی مطلوبی بدهد.
این مشکلات ابتدایی، نشان داد که سیستمهای هوش مصنوعی مولد مثل همین چت جیپیتی، هنوز هم کم و کاستیهایی دارند. با این که مدلهای بزرگ زبانی میتوانند محتوایی که به آنها آموزش داده شده را تولید کنند، اما اغلب ابزارهای تصحیح خطا و درک مفهوم (که مهمترین شاخص متخصص بودن در این زمینه است) را ندارند. متاسفانه در میان واکنشها و حیرت مردم، دیگر محدودیتهای چت جیپیتی به چشم نمیآید.
البته یک سری حواشیها دربارهی تواناییهای چت جیپیتی درست است. مثلا از پس کارهای اداری، مقالات دانشگاهی و حتی توسعهی بدافزارها بر میآید. اما اگر بخواهید همهی شایعهها را باور کنید، یادتان میرود که چت جیپیتی نه به عنوان جایگزینی برای تخصصهای انسانی، که به عنوان دستیار انسان در انجام کارها به وجود آمده است!
در هفتههای بعد از انتشار چت جیپیتی، شرکتهای امنیت سایبری گزارشهای زیادی مبنی بر مخرب بودن این بات منتشر کردند. این شرکتها میگفتند که چت جیپیتی ممکن است برای نوشتن کدهای مخرب استفاده شود و در راستای همین موضوع هم سرتیترهای جالبی نوشتند. مثلا یکی از آنها این گونه نوشته بود: «چت جیپیتی، بدافزاری هزارچهره»! اما این گزارشها دیگر دربارهی نقش برنامه نویسها در ترغیب این ربات به نوشتن کد و مهمتر از همه، اصلاح کدی که تولید میکند، چیزی نگفتند.
در ماه دسامبر، محققان مجموعهی چکپوینت (Checkpoint) به مردم نشان دادند که چت جیپیتی چگونه میتواند از ساختن ایمیلهای فیشینگ گرفته تا نوشتن کدهای مخرب را خودش انجام دهد. اما برای نوشتن یک کد کامل و بیعیب، چت جیپیتی باید یک سری چیزهایی که فقط یک برنامه نویس خبره میتوانست به آنها فکر کند، مثلا ویژگیهای تشخیص سندباکس (Sandbox) را هم در نظر میگرفت.
سرگی شیکویچ (Sergey Shykevich)، یکی از محققان مجموعهی چکپوینت میگوید: «متجاوزهای سایبری باید بدانند دقیقا چه میخواهند و بتوانند کاربرد خواستهی خود را هم مشخص کنند. اگر فقط به چت جیپیتی فرمان نوشتن کدهای بدافزاری بدهید، چیزی عایدتان نمیشود».
برای هکرهایی مثل هاچینز، نصف راه نوشتن نرمافزار، این است که بدانند اصلا باید چه چیزهایی را زیر سوال ببرند. متاسفانه بسیاری از خبرهای پیرامون چت جیپیتی، به این که یک برنامهنویس حرفهای تا چه حد روی توسعهی برنامهها و نرمافزارها تاثیر دارد، اشارهای نمیکنند.
هاچینز میگوید: «کسانی که مفهوم توسعه دادن و برنامهنویسی را میفهمند، با برنامههایی که مینویسند، مهارتهای خود را نشان میدهند و حتی خودشان هم متوجه نمیشوند که تا چه حد دارند در این حوزه مشارکت میکنند. کسی که هیچ تجربهای از برنامهنویسی نداشته باشد، حتی نمیداند که باید چه مولفههایی در چت جیپیتی وارد کند».
در حال حاضر، چت جیپیتی تنها یکی از هزاران ابزار موجود برای توسعهی بدافزارها است. در گزارشی که هفتهی گذشته منتشر شد، شرکت امنیتی ریکوردِد فیوچر (Recorded Future) بیش از ۱۵۰۰ ارجاع به دارک وب و انجمنهای بسته (Closed Forums) را با استفاده از همین چت جیپیتی برای توسعهی بدافزارها و نوشتن کدهای آزمون ایده (Proof-of-concept) گزارش کرد. در این گزارش نوشته شده که بسیاری از این کدها برای عموم مردم در دسترس هستند و این شرکت، اعتقاد دارد که چت جیپیتی بیشتر به درد باجافزارها، کلاهبرداران و اسپمرها، دزدهای اطلاعات کارتهای بانکی و متجاوزان سایبری که جرایم کوچک انجام میدهند، میخورد.
چت جیپیتی میتواند به مجرمهای تازهکار، کمک کند. در پایان گزارش شرکت ریکوردد فیوچرز، این گونه نوشته شده بود: «چت جیپیتی دارد با ارائهی مثالهای واقعی، آموزشها و منابع مختلف، توسعهی بدافزار را برای مجرمهایی که نمیدانند باید از کجا شروع کنند، راحتتر میکند».
اما در مجموع، مزایایی که چت جیپیتی برای هکرهای مخرب ارائه میدهد، کوچک و حاشیهای است. درست است که چت جیپیتی یک سری اطلاعات اولیه را در اختیار همگان قرار میدهد، اما این اطلاعات را میشود خیلی راحت در گوگل هم سرچ کرد. با گذر زمان و پیشرفتهتر شدن زبانهای بزرگ دنیا، توانایی مدلهای مختلف در نوشتن کدهای اورجینال (حالا چه مخرب و چه معمولی) هم بالا میرود. حالا تا آن موقع، چت جیپیتی و امثال آن، بیشتر نقش کمکی و ساپورتر دارند تا مخرب بودن.
مثلا چت جیپیتی، ساختن ایمیلهای فیشینگ را برای بقیه راحتتر میکند. همچنین میتواند مهارتهای نوشتاری هکرهای روسی زبانی که ممکن است برای نوشتن پیامهای کلیک کردنی به زبان انگلیسی یا هر زبان دوم دیگری مشکل داشته باشند را بالا ببرد. عاصف سیدون (Asaf Cidon)، استادیار علوم کامپیوتر در دانشگاه کلمبیا (Columbia University) و مشاور شرکت امنیت سایبری باراکودا (Barracuda) میگوید: «بیشتر حملات سایبری، از ایمیلها سرچشمه میگیرد. اکثر این حملات ایمیلی، اصلا حملات بدافزاری نیستند. بلکه کاربر را گول میزنند و اطلاعات بانکی و اعتبارش را میدزدند. حالا چت جیپیتی این کار را برای افراد سودجو، از همیشه آسانتر کرده است».
اما این قضیه، انقلابی در حوزهی هک نیست، بلکه فقط حاکی از تغییرات جدید پیشِرو است. در حال حاضر ایمیلهای فیشینگ، به راحتی توسط مجرمهای سایبری یا با استخدام یک مترجم ساخته میشوند. اما چت جیپیتی میتواند تعداد بیشتری از این ایمیلها را در مدت کوتاهتر، بسازد.
به گفتهی سیدون، اگر یک مجرم سایبری به آرشیو ایمیلها دسترسی داشته باشد، ممکن است از چت جیپیتی سوءاستفاده کند و مثلا سبک نوشتن مدیرعامل یا رئیس یک شرکت را کپی کند تا کارمندان را راحتتر گول بزند.
اما کارشناسان اعتقاد دارند که هنگام ارزیابی کلیتر تاثیر چت جیپیتی روی امنیت سایبری، باید بیشتر روی اصل قضیه تمرکز کنیم. چت جیپیتی بهجز برای آن چند هدف کوچکی که پیشتر گفتیم، برای اکثر هدفها، شانس موفقیت آنچنان بالایی ندارد. همانطور که درو لوهان (Drew Lohn)، محقق مرکز امنیت و فناوری جورجتاون (Georgetown) میگوید: «فیشینگ در حال حاضر آن قدری موفق هست که بود و نبود چت جیپیتی، تفاوت چندانی برایش ایجاد نکند».
در کل، وجود ابزارهایی مثل چت جیپیتی، باعث افزایش تعداد افراد سودجو و خطرناک میشود. به گفتهی لوهان، چت جیپیتی به هکرها کمک میکند تا راحتتر به هرجایی که بخواهند، نفوذ کنند، آن هم حتی بدون نوشتن هیچ بدافزار جدیدی.
هزاران ابزار بدافزاری وجود دارد که عموم مردم از آنها هیچ خبری ندارند. ترس ما از این است که نکند چت جیپیتی، همه را با این ابزارهای بدافزاری آشنا کند. اما باز هم، باتوجه پیشرفت روزافزون این حوزه، ممکن است امروز چشم خود را ببندیم و فردا که بیدار شدیم، همه چیز تغییر کرده باشد.
