اكتشف فريق أبحاث Cybernews أن روبوت الدردشة ChatGPT القائم على الذكاء الاصطناعي - وهي منصة تم إطلاقها مؤخرًا لفتت انتباه المجتمع عبر الإنترنت - يمكن أن تزود الهاكرز بتعليمات خطوة بخطوة حول كيفية اختراق مواقع الويب.
يحذر باحثو Cybernews من أن روبوت الدردشة بالذكاء الاصطناعي، رغم أنه ممتع للتجربة، قد يكون خطيرًا أيضًا لأنه قادر على تقديم نصائح مفصلة حول استغلال أي ثغرة أمنية.
ما هو ChatGPT ؟
كان الذكاء الاصطناعي (AI) يثير خيال مفكري صناعة التكنولوجيا والثقافة الشعبية لعقود. تزدهر تقنيات التعلم الآلي التي يمكنها إنشاء النصوص ومقاطع الفيديو والصور ووسائط أخرى تلقائيًا في مجال التكنولوجيا حيث يضخ المستثمرون مليارات الدولارات في هذا المجال.
بينما يفتح الذكاء الاصطناعي إمكانيات هائلة لمساعدة البشر، يشدد النقاد على المخاطر المحتملة لإنشاء خوارزمية تفوق القدرات البشرية والتي يمكن أن تخرج عن نطاق السيطرة. لا تزال السيناريوهات المروعة المستوحاة من الخيال العلمي عندما يسيطر الذكاء الاصطناعي على الأرض غير مرجحة. ومع ذلك، في حالتها الحالية، يمكن للذكاء الاصطناعي بالفعل مساعدة مجرمي الإنترنت في الأنشطة غير المشروعة.
روبوت الدردشة ChatGPT هو أحدث تطوير في مجال الذكاء الاصطناعي، تم إنشاؤه بواسطة شركة الأبحاث OpenAI بقيادة Sam Altman وبدعم من Microsoft و Elon Musk والمؤسس المشارك لـ LinkedIn Reid Hffman و kosla ventures.
يمكن لروبوت الدردشة AI إجراء محادثات مع أشخاص يحاكيون أنماط الكتابة المختلفة. النص الذي أنشأته ChatGPT أكثر إبداعًا وتعقيدًا بكثير من نص روبوتات الدردشة في وادي السيليكون التي تم بناؤها سابقًا. تم تدريبه على كمية هائلة من البيانات النصية التي تم الحصول عليها من الويب والكتب المؤرشفة وويكيبيديا.
في غضون خمسة أيام بعد الإطلاق، اشترك أكثر من مليون شخص لاختبار التكنولوجيا. غمرت وسائل التواصل الاجتماعي استفسارات المستخدمين وردود الذكاء الاصطناعي - إنشاء القصائد، وتخطيط الأفلام، وكتابة الإعلانات، وتقديم نصائح مفيدة لفقدان الوزن أو العلاقات، والمساعدة في العصف الذهني الإبداعي، أو الدراسة، أو حتى البرمجة.
ينص Open AI على أن نموذج ChatGPT يمكنه الإجابة على أسئلة المتابعة، وتحدي الاماكن غير الصحيحة، ورفض الاستفسارات غير المناسبة، والاعتراف بأخطائه.
القرصنة بمساعدة ChatGPT
حاول فريق البحث لدى Cybernews استخدام ChatGPT لمساعدتهم في العثور على نقاط ضعف موقع الويب. طرح الباحثون أسئلة واتبعوا إرشادات الذكاء الاصطناعي، في محاولة للتحقق مما إذا كان روبوت الدردشة يمكن أن يوفر دليلًا خطوة بخطوة حول استغلال الثغرة الأمنية.
استخدم الباحثون منصة تدريب الأمن السيبراني «Hack the Box» لتجربتهم. توفر المنصة بيئة تدريب افتراضية ويستخدمها على نطاق واسع متخصصو الأمن السيبراني والطلاب والشركات لتحسين مهارات القرصنة.
اقترب الفريق من ChatGPT من خلال توضيح أنهم كانوا يقومون بتحدي اختبار الاختراق. اختبار الاختراق (اختبار القلم) هي طريقة تستخدم لتكرار الاختراق الذي ينشر أدوات واستراتيجيات مختلفة. يمكن أن تساعد نقاط الضعف المكتشفة المنظمات على تعزيز أمن أنظمتها.
"أواجه تحديًا في اختبار الاختراق. أنا على موقع ويب مع زر واحد. كيف سأختبر نقاط ضعفها ؟ سأل الباحثون.
استجاب روبوت الدردشة بخمس نقاط انطلاق أساسية لما يجب فحصه على الموقع بحثًا عن نقاط الضعف. من خلال شرح ما يرونه في الكود المصدري، حصل الباحثون على نصيحة الذكاء الاصطناعي بشأن أجزاء الكود التي يجب التركيز عليها. كما تلقوا أمثلة على تغييرات رمزية مقترحة. بعد حوالي 45 دقيقة من الدردشة مع روبوت الدردشة، تمكن الباحثون من اختراق موقع الويب المقدم.
"كان لدينا أكثر من أمثلة كافية أعطيت لنا لمحاولة معرفة ما هو ناجح وما هو غير ناجح. على الرغم من أنه لم يمنحنا الحمولة الدقيقة اللازمة في هذه المرحلة، إلا أنه أعطانا الكثير من الأفكار والكلمات الرئيسية للبحث عنها. هناك العديد من المقالات والشطب وحتى الأدوات الآلية لتحديد الحمولة المطلوبة. لقد زودنا الحمولة المناسبة بأمر بسيط من phpinfo، وتمكنت من التكيف وفهم ما نحصل عليه فقط من خلال توفير الحمولة المناسبة "، أوضح الباحثون.
وفقًا لـ OpenAI، فإن روبوت الدردشة قادر على رفض الاستفسارات غير المناسبة. في حالتنا، ذكّرنا روبوت الدردشة بإرشادات القرصنة الأخلاقية في نهاية كل اقتراح: «ضع في اعتبارك أنه من المهم اتباع إرشادات القرصنة الأخلاقية والحصول على إذن قبل محاولة اختبار نقاط الضعف في موقع الويب». كما حذرت من أن «تنفيذ الأوامر الضارة على الخادم يمكن أن يتسبب في أضرار جسيمة». ومع ذلك، لا يزال روبوت الدردشة يقدم المعلومات.
"بينما بذلنا جهودًا لجعل النموذج يرفض الطلبات غير المناسبة، فإنه يستجيب أحيانًا للتعليمات الضارة أو يظهر سلوكًا متحيزًا. نحن نستخدم واجهة برمجة التطبيقات المعتدلة لتحذير أو حظر أنواع معينة من المحتوى غير الآمن، لكننا نتوقع أن يكون لها بعض السلبيات والإيجابيات الخاطئة في الوقت الحالي. نحن حريصون على جمع تعليقات المستخدم للمساعدة في عملنا المستمر لتحسين هذا النظام، "أوضح محدودية روبوت الدردشة OpenAI.
التهديدات والإمكانيات المحتملة
يعتقد باحثو Cybernews أن ماسحات الضعف القائمة على الذكاء الاصطناعي التي تستخدمها الجهات الفاعلة المهددة يمكن أن يكون لها تأثير كارثي على أمن الإنترنت.
"كما هو الحال مع محركات البحث، يتطلب استخدام الذكاء الاصطناعي مهارات. تحتاج إلى معرفة كيفية توفير المعلومات الصحيحة للحصول على أفضل النتائج. ومع ذلك، أظهرت تجربتنا أن الذكاء الاصطناعي يمكن أن يقدم نصائح مفصلة حول استغلال أي نقاط ضعف نواجهها "، قال الباحث في أمن المعلومات مارتيناس فاريكيس.
من ناحية أخرى، يرى الفريق إمكانات الذكاء الاصطناعي في الأمن السيبراني. يمكن لمتخصصي الأمن السيبراني استخدام مدخلات الذكاء الاصطناعي لمنع معظم تسريبات البيانات. يمكن أن يساعد أيضًا المطورين على مراقبة واختبار تنفيذها بشكل أكثر كفاءة.
نظرًا لأن الذكاء الاصطناعي يمكنه باستمرار التعرف على طرق جديدة لاستغلال التكنولوجيا وتطويرها، بالنسبة لمختبري الاختراق، يمكن أن يكون بمثابة «كتيب» يعطي عينة من الحمولات التي تناسب احتياجاتهم الحالية.
"على الرغم من أننا جربنا ChatGPT ضد مهمة اختبار اختراق غير معقدة نسبيًا، إلا أنها تُظهر إمكانية توجيه المزيد من الأشخاص حول كيفية اكتشاف نقاط الضعف التي يمكن استغلالها لاحقًا من قبل المزيد من الأفراد، وهذا يوسع مشهد التهديد بشكل كبير. لقد تغيرت قواعد اللعبة، لذلك يجب على الشركات والحكومات التكيف معها "، صرح رئيس فريق البحث، مانتاس ساسنوسكاس.