‘Vượt rào’ thành công, tin tặc đã có thể ‘ép’ ChatGPT tạo mã độc.
Theo chính sách hiện nay, việc sử dụng ChatGPT để thực hiện các tác vụ vi phạm pháp luật đều không khả dụng. Tuy nhiên, bằng cách lợi dụng các lỗ hổng có trên nền tảng, tin tặc hiện đã thành công vượt rào và ‘ép’ ChatGPT tạo ra mã độc và các nội dung phục vụ hoạt động phi pháp.
Vừa qua, các nhà nghiên cứu đã đưa ra cảnh báo về việc kẻ gian dễ dàng vượt qua bộ lọc kiểm duyệt của ChatGPT để lợi dụng chatbot AI này tạo ra các phần mềm chứa mã độc và email lừa đảo người dùng.
ChatGPT là một chatbot sử dụng trí tuệ nhân tạo (AI) để trả lời các câu hỏi giống hệt con người. Nó có thể giúp người dùng tạo tài liệu, viết mã máy tính cơ bản,… Tuy nhiên, khi được yêu cầu viết mã để đánh cắp dữ liệu trên các thiết bị điện tử hoặc tạo email lừa đảo, ứng dụng sẽ từ chối và trả lời việc đó là “bất hợp pháp, phi đạo đức và gây tổn hại tới người khác”.
Phát hiện những lỗ hổng bảo mật mới
Công ty bảo mật Check Point Research cho biết, bằng cách sử dụng giao diện lập trình ứng dụng cho text-davinci-003 – một trong các mô hình GPT-3 của OpenAI.
Vì text-davinci-003 API và các phiên bản API khác không có những hạn chế đối với nội dung độc hại, các nhà phát triển có thể tích hợp AI bot vào ứng dụng của mình và sử dụng chúng để tạo ra nội dung bất kỳ mà không vấp phải rào cản pháp lý nào.
Từ lỗ hổng đó, các hacker đã tìm ra cách vượt qua những hạn chế của ChatGPT. Tội phạm mạng cũng đã sử dụng nó để bán các dịch vụ bất hợp pháp trên diễn đàn ngầm.
Các nhà nghiên cứu chỉ ra rằng: “Phiên bản API hiện tại của OpenAI được sử dụng bởi các ứng dụng bên ngoài (ví dụ như tích hợp mô hình GPT-3 của OpenAI với các kênh Telegram) và có rất ít các biện pháp chống lạm dụng được áp dụng. Dẫn đến việc kẻ gian có cơ hội tạo nội dung độc hại, như email lừa đảo và mã độc, mà không cần lo về rào cản trên ChatGPT”.
Các chuyên gia bảo mật cho biết, một diễn đàn hiện đang bán dịch vụ kết hợp API và Telegram. Trong đó, 20 truy vấn đầu tiên được miễn phí. Sau đó, nếu muốn tiếp tục sử dụng dịch vụ, người dùng sẽ phải trả mức phí $5,50 (gần 130 nghìn đồng) cho mỗi 100 lần truy vấn.
Quảng cáo về việc sử dụng ChatGPT để tạo nội dung độc hại trên Telegram.
Các nhà nghiên cứu của Check Point đã thử nghiệm hiệu suất của API text-davinci-003 và thu được kết quả bao gồm: một email lừa đảo và một tập lệnh truyền các tài liệu PDF tới tin tặc thông qua hình thức FTP sau khi đánh cắp chúng từ máy tính chủ bị nhiễm mã độc.
Một email lừa đảo được tạo bằng phần mềm tự động trên Telegram.
Tài khoản robot đang tạo mã độc trên nền tảng Telegram.
Trong khi đó, nhiều người tham gia diễn đàn khác cũng đang chia sẻ những đoạn code giúp tạo nội dung độc hại miễn phí bằng text-davinci-003.
Một trong những chủ tài khoản thuộc các diễn đàn trên đã rao bán công khai các nội dung giúp sử dụng ChatGPT để tạo mã độc với nội dung: “Đây là một tập lệnh bash nhỏ nhằm giúp bạn vượt qua các hạn chế của ChatGPT và sử dụng nó cho bất cứ mục đích nào, bao gồm cả việc phát triển phần mềm độc hại”.
Tháng trước, Check Point đã ghi chép và thu thập về cách làm thế nào ChatGPT có thể được sử dụng cho mục đích xấu.
Ông Serge Shykevich, nhà nghiên cứu của Check Point, cho biết, trong khoảng thời gian từ tháng 12/2022 đến tháng 1/2023, tin tặc vẫn có thể dễ dàng sử dụng giao diện người dùng (UI) trên website của ChatGPT để tạo phần mềm độc hại và email lừa đảo thông qua thao tác lặp lại cơ bản.
Dựa trên cuộc trò chuyện của tội phạm mạng, các nhà nghiên cứu kết luận hầu hết những ví dụ đã chỉ ra đều được tạo bằng giao diện trên. Tuy nhiên, có vẻ như đã có sự cải thiện đáng kể trong cơ chế chống lạm dụng tại ChatGPT, do đó, các đối tượng xấu hiện đã chuyển sang phiên bản API với ít hạn chế hơn.
Đại diện của OpenAI, công ty phát triển ChatGPT tại San Francisco, hiện chưa đưa ra bất cứ phản hồi nào liên quan tới kết quả nghiên cứu của Check Point và dự định kế hoạch sửa đổi giao diện API nhằm ngăn chặn tin tặc lợi dụng.
Việc tạo ra phần mềm độc hại và email lừa đảo chỉ là một trong nhiều cách mà ChatGPT và các biến thể GPT khác có thể gây ra những vấn đề mang tính toàn cầu. Bên cạnh đó, sử dụng ChatGPT để xâm phạm quyền riêng tư, cố ý tạo thông tin sai lệch hoặc gian lận trong thi cử đều được tính vào mục đích phi đạo đức.
Tất nhiên, công cụ bảo vệ phần mềm có thể dựa vào khả năng tạo ra những nội dung tương tự để phát triển cách phát hiện và ngăn chặn các hành vi lạm dụng. Song, hiện vẫn chưa rõ liệu việc này có thể theo kịp với sự xâm nhập của các tin tặc hay không.
Theo nguồn sưu tầm.