I chatbot AI come ChatGPT di OpenAI hanno catturato l’immaginazione del pubblico. Ma i ricercatori di sicurezza informatica avvertono che questo e altri strumenti di intelligenza artificiale potrebbero essere utilizzati per generare e-mail di phishing e codice dannoso facilmente e su scala molto più ampia.
I ricercatori della società di sicurezza informatica Checkpoint Research hanno dimostrato come ChatGPT potrebbe essere utilizzato da quasi tutti per creare e-mail di phishing e codice dannoso.
Innanzitutto, i ricercatori hanno prima chiesto al chatbot di creare un’e-mail di phishing impersonando una società di hosting. ChatGPT ha fornito l’output, anche se ha avvertito i ricercatori che il contenuto potrebbe violare la sua politica sui contenuti. I ricercatori hanno quindi chiesto a ChatGPT di creare un’iterazione simile, ma che chiedesse agli utenti di scaricare un file Excel dannoso, invece di fare clic su un collegamento. Proprio come prima, ChatGPT ha fornito un output soddisfacente, nonostante abbia generato un avviso. ChatGPT ha anche creato un codice VBA (Visual Basic for Application) dannoso. L’output iniziale era a malapena realizzabile, ma dopo qualche prova i ricercatori hanno finalmente ottenuto un codice utilizzabile.
Un problema che bisogna risolvere il prima possibile
“Dopo aver inizialmente pubblicato il post sul blog su questa possibilità, ChatGPT non scrive più e-mail di phishing quando richiesto, ma abbiamo scoperto che ci sono ancora modi per aggirare il problema. Ad esempio, se dici che sono un docente di sicurezza informatica e desideri un esempio di e-mail di phishing da mostrare agli studenti, verrà comunque generato il codice“, ha detto Sergey Shykevich, responsabile del gruppo di intelligence sulle minacce presso Checkpoint Research, a indianexpress.com tramite una chiamata Zoom.
Secondo Chester Wisniewski, ricercatore principale presso la società britannica di sicurezza informatica Sophos, “è abbastanza facile convincere ChatGPT a contribuire a creare convincenti programmi dannosi”.