Lên dark web, chuyên gia phát hiện hacker đang tận dụng ChatGPT để tấn công mạng dễ dàng hơn

Sergey Shykevich, nhà nghiên cứu ChatGPT hàng đầu tại công ty an ninh mạng Check Point (Israel), đã chứng kiến tội phạm mạng khai thác sức mạnh của AI để tạo mã có thể được sử dụng trong một cuộc tấn công ransomware (mã độc tống tiền).

Đội của Sergey Shykevich bắt đầu nghiên cứu khả năng AI có thể tiếp tay cho tội phạm mạng vào tháng 12.2021. Bằng cách sử dụng mô hình ngôn ngữ lớn của AI, hacker đã tạo ra các email lừa đảo và mã độc. Khi nắm rõ ChatGPT có thể được sử dụng cho các mục đích bất hợp pháp, Sergey Shykevich nói với trang Insider rằng muốn xem liệu phát hiện của họ có phải là "lý thuyết" hay liệu có thể tìm thấy "những kẻ xấu đang sử dụng chatbot này trong thế giới thực hay không".

Vì rất khó để biết liệu một email gây hại gửi đến ai đó có được viết bằng ChatGPT hay không, đội của Sergey Shykevich đã chuyển sang dark web để xem chatbot này đang được sử dụng như thế nào.

Dark web là một phần của internet không được tìm thấy trên các công cụ tìm kiếm thông thường và yêu cầu sử dụng phần mềm đặc biệt để truy cập. Dark web thường được sử dụng để tạo ra các hoạt động trái phép và phi pháp như buôn bán ma túy, vũ khí, bán dữ liệu cá nhân, các hoạt động mạng lưới tội phạm và hoạt động bất hợp pháp khác. Tại đây, người dùng có thể duyệt web hoàn toàn ẩn danh và truy cập vào các nội dung mà không được chính phủ và các tổ chức kiểm duyệt.

Vào ngày 21.12.2022, họ đã tìm thấy bằng chứng đầu tiên: Tội phạm mạng đang sử dụng ChatGPT để tạo một tập lệnh python có thể được sử dụng trong cuộc tấn công bằng malware (phần mềm độc hại).

Malware là bất kỳ phần mềm nào được thiết kế để tấn công hoặc gây hại đến hệ thống máy tính, mạng hoặc thiết bị di động. Malware có thể được sử dụng để lấy cắp thông tin nhạy cảm, tiết lộ thông tin cá nhân, lây nhiễm virus cho hệ thống, tạo ra các kết nối đến máy tính từ xa để thực hiện các hoạt động phi pháp hoặc gây ra các tác động khác như tắt hệ thống, làm chậm hoạt động của máy tính và gây ra sự cố nghiêm trọng khác.

Sergey Shykevich nói rằng mã có một số lỗi, nhưng phần lớn là đúng. "Điều thú vị là những người đăng nó chưa từng phát triển bất cứ thứ gì trước đây", Sergey Shykevich chia sẻ.

Ngoài ra, Sergey Shykevich nói ChatGPT và Codex sẽ "cho phép những người ít kinh nghiệm hơn được coi là nhà phát triển". Codex là dịch vụ OpenAI có thể viết mã cho các nhà phát triển.

Việc lạm dụng ChatGPT (được sử dụng để tạo ra Bing chatbot) khiến các chuyên gia an ninh mạng lo lắng vì nhận thấy tiềm năng chatbot này trong hỗ trợ tấn công phishing (lừa đảo trực tuyến), malware và hacking (tìm kiếm và khai thác các lỗ hổng trong các hệ thống máy tính, mạng hoặc phần mềm để truy cập trái phép vào các tài nguyên hoặc thông tin của hệ thống đó).

Justin Fier, Giám đốc Điều tra và Phân tích An ninh mạng tại công ty Darktrace, chia sẻ với Insider rằng, khi nói đến các cuộc tấn công phishing, ChatGPT có thể giúp tạo ra hàng chục email lừa đảo được nhắm mục tiêu một cách dễ dàng miễn là đưa ra yêu cầu thích hợp.

"Với phishing, tất cả là về số lượng - hãy tưởng tượng 10.000 email, được nhắm mục tiêu cao. Bây giờ, thay vì 100 lần nhấp tích cực, hacker có được 3.000 hoặc 4.000. Đó là con số rất lớn", Justin Fier đề cập đến số lượng người giả định có thể nhấp vào một email lừa đảo, yêu cầu người dùng cung cấp thông tin cá nhân, chẳng hạn như mật khẩu tài khoản ngân hàng.

"Một phim khoa học viễn tưởng"

Đầu tháng 2, Blackberry đã công bố một cuộc khảo sát từ 1.500 chuyên gia công nghệ thông tin, 74% trong số họ cho biết họ lo lắng về việc ChatGPT hỗ trợ tội phạm mạng.

Cuộc khảo sát cũng chỉ ra 71% tin rằng ChatGPT có thể đã được các quốc gia sử dụng để tấn công các nước khác thông qua nỗ lực hacking và phishing.

"Đã có nhiều tài liệu chứng minh rằng những người có ý định xấu đang thử nghiệm ChatGPT, nhưng trong năm nay, chúng ta sẽ thấy những kẻ tấn công có khả năng sử dụng chatbot này hiệu quả hơn để thực hiện các mục đích độc hại", Shishir Singh, Giám đốc Công nghệ của Bảo mật mạng tại BlackBerry, viết trong một thông cáo báo chí.

Shishir Singh nói những lo ngại này bắt nguồn từ sự tiến bộ nhanh chóng của AI trong năm qua. Các chuyên gia cho rằng những tiến bộ trong các mô hình ngôn ngữ lớn, hiện thành thạo hơn trong việc bắt chước lời nói của con người, đã tiến triển nhanh hơn dự kiến.

Shishir Singh mô tả những sự đổi mới nhanh chóng như một thứ gì đó bước ra từ bộ phim khoa học viễn tưởng.

“Bất cứ điều gì đã thấy trong 9 đến 10 tháng qua, chúng ta từng chỉ thấy ở Hollywood”, ông nhấn mạnh.

Open AI có thể chịu trách nhiệm với việc tội phạm mạng khai thác ChatGPT

Khi tội phạm mạng bắt đầu thêm những thứ như ChatGPT vào bộ công cụ của chúng, các chuyên gia như cựu công tố viên liên bang Mỹ - Edward McAndrew đang tự hỏi liệu các công ty có chịu trách nhiệm về những tội lỗi này hay không.

Edward McAndrew, người làm việc với Bộ Tư pháp Mỹ điều tra tội phạm mạng, chỉ ra rằng nếu ChatGPT hoặc chatbot tương tự khuyến khích ai đó phạm tội trên mạng thì các công ty hỗ trợ những chatbot này có thể cũng phải chịu trách nhiệm.

Khi xử lý nội dung bất hợp pháp hoặc tội phạm trên trang web của mình từ người dùng bên thứ ba, hầu hết hãng công nghệ đều trích dẫn Điều 230 của Đạo luật về Khuôn phép trong giao tiếp năm 1996. Đạo luật quy định rằng các nhà cung cấp trang web cho phép mọi người đăng nội dung, như Facebook hoặc Twitter, không chịu trách nhiệm về phát ngôn của họ trên nền tảng.

Song vì bài phát ngôn đến từ chính ChatGPT, Edward McAndrew cho biết luật có thể không bảo vệ OpenAI khỏi các vụ kiện dân sự hoặc truy tố, dù phiên bản mã nguồn mở có thể làm cho việc liên kết các tội phạm mạng với OpenAI khó khăn hơn.

Phạm vi bảo vệ pháp lý cho các hãng công nghệ theo Điều 230 cũng đang bị thách thức trong tuần này trước Tòa án Tối cao Mỹ bởi gia đình của một phụ nữ bị những kẻ khủng bố ISIS giết vào năm 2015. Gia đình này lập luận rằng Google phải chịu trách nhiệm pháp lý về thuật toán của họ quảng cáo các video cực đoan.

Edward McAndrew nói ChatGPT cũng có thể cung cấp "kho tàng thông tin" cho những người được giao nhiệm vụ thu thập bằng chứng cho những tội ác như vậy nếu họ có thể yêu cầu công ty như OpenAI đưa ra tài liệu.

“Đó là những câu hỏi thực sự thú vị, nhưng dành cho nhiều năm tới. Như chúng ta đã thấy từ thời khởi đầu của internet, tội phạm mạng là một trong những người sớm nhất thích ứng với công nghệ mới. Và chúng ta lại thấy điều đó, với rất nhiều công cụ AI”, Edward McAndrew cho hay.

Đối diện với những câu hỏi này, Edward McAndrew nói ông nhìn thấy cuộc tranh luận chính sách về cách mà Mỹ và thế giới nói chung sẽ đặt ra các thông số cho các hãng AI và công nghệ.

Trong cuộc khảo sát của Blackberry, 95% số người được hỏi về CNTT cho biết các chính phủ phải chịu trách nhiệm tạo và thực hiện các quy định.

Edward McAndrew nói việc quản lý nó có thể gặp nhiều thách thức, vì không có cơ quan hoặc cấp chính phủ nào được giao độc quyền tạo ra các yêu cầu cho ngành công nghiệp AI và vấn đề về công nghệ AI vượt xa khỏi ranh giới Mỹ.

"Chúng ta sẽ phải có các liên minh quốc tế và các chuẩn mực quốc tế về hành vi mạng. Tôi cho rằng điều đó sẽ mất hàng thập kỷ để phát triển nếu chưa có”, ông nói.

Công nghệ vẫn chưa hoàn hảo cho tội phạm mạng

Các chuyên gia nói với Insider rằng một điều về ChatGPT có thể gây khó cho tội phạm mạng là nó trả lời sai sót song trông đáng tin cậy. Điều này có thể gây ra vấn đề cho tội phạm mạng khi cố gắng soạn thảo một email nhằm bắt chước người khác. Trong đoạn mã mà Sergey Shykevich và các đồng nghiệp của ông phát hiện ra trên dark web, các lỗi cần được sửa trước khi có thể hỗ trợ cho một vụ lừa đảo.

Ngoài ra, ChatGPT tiếp tục triển khai các biện pháp bảo vệ để ngăn chặn hoạt động bất hợp pháp, song có thể vượt qua các biện pháp này bằng tập lệnh phù hợp.

Sergey Shykevich chỉ ra rằng một số tội phạm mạng đang dựa vào các mô hình API của ChatGPT, các phiên bản nguồn mở của ứng dụng không có các giới hạn nội dung giống như giao diện người dùng web.

Sergey Shykevich cũng cho biết tại thời điểm này, ChatGPT không thể hỗ trợ tạo phần mềm độc hại tinh vi hoặc tạo các trang web giả mạo, chẳng hạn website một ngân hàng nổi tiếng.

Tuy nhiên một ngày nào đó, điều này có thể trở thành hiện thực vì cuộc chạy đua AI do những gã khổng lồ công nghệ tạo ra thúc đẩy sự phát triển của các chatbot tốt hơn, Sergey Shykevich nói với Insider.

“Tôi quan tâm nhiều hơn đến tương lai và có vẻ như bây giờ tương lai không phải là 4 - 5 năm nữa mà là 1 hoặc 2 năm nữa”, ông nhận định.

Open AI không trả lời ngay lập tức khi được đề nghị bình luận vế vấn đề trên.

Khi những kẻ tấn công tự động hóa các phương pháp và sử dụng các công cụ AI như ChatGPT để cải thiện chiến thuật của chúng, điều quan trọng với những người phòng thủ là dùng AI để chống trả một cách hiệu quả.

AI có thể phân tích lượng dữ liệu khổng lồ chỉ trong vài giây, giúp cải thiện đáng kể thời gian trung bình để phát hiện và phản hồi.

Với sự chú ý gần đây về ChatGPT, mô hình ngôn ngữ mạnh mẽ do công ty khởi nghiệp OpenAI (Mỹ) phát triển, nhiều chuyên gia an ninh mạng theo dõi chặt chẽ tác động tiềm năng của nó với lĩnh vực này. Từ sinh viên đến các chuyên gia công nghệ, có vẻ ChatGPT trở thành thuật ngữ phổ biến trong từ vựng hàng ngày, nhấn mạnh sự cần thiết phải tiếp tục kiểm tra ý nghĩa của nó với an ninh mạng.

Với tin tức về Google Bard và việc tích hợp mô hình ngôn ngữ lớn (LLM) AI vào các công cụ tìm kiếm, rủi ro và lợi ích của việc sử dụng các chatbot AI đã trở thành chủ đề bàn tán sôi nổi, từ phòng ăn đến phòng họp. Những động cơ của cuộc trò chuyện về chủ đề này chủ yếu xoay quanh việc triển khai hoặc cấm chatbot AI trong ngành giáo dục và liệu phần mềm có thể thay thế con người làm việc.

Trang Tech Wire Asia gần đây đã nói chuyện với Jonathan Jackson, Giám đốc Kỹ thuật khu vực châu Á - Thái Bình Dương tại BlackBerry, về vấn đề này. BlackBerry đã thăm dò ý kiến của các chuyên gia bảo mật CNTT về ChatGPT, dù có nhiều tài liệu nghiên cứu về mối đe dọa đã xác định các lỗ hổng tiềm ẩn.

“Chúng tôi thấy rằng các chuyên gia CNTT nhìn thấy cả cơ hội và mối đe dọa của công nghệ trên các thị trường khác nhau. Chúng tôi dự định nâng cao nhận thức về các rủi ro và giúp các cá nhân cũng như tổ chức chuẩn bị tốt hơn cho tương lai AI”, Jonathan Jackson nói.

Jonathan Jackson tin rằng các chatbot AI sẽ tồn tại. Khi các tác nhân đe dọa tiếp tục tự động hóa những cuộc tấn công và tận dụng công cụ như ChatGPT để nâng cao kỹ năng và chiến thuật của chúng, khả năng sử dụng AI trong phòng thủ, chiến đấu chống lại các mối đe dọa, là vô cùng quan trọng.

Cuộc khảo sát của BlackBerry với 1.500 người ra quyết định về CNTT và an ninh mạng cho thấy 51% số người được hỏi tin rằng một cuộc tấn công mạng thành công liên quan đến ChatGPT sẽ xảy ra trong vòng một năm. 71% số người tham gia cũng tin rằng các quốc gia có thể đã sử dụng ChatGPT cho mục đích xấu.

Jonathan Jackson nêu bật một số lĩnh vực tác động tiềm ẩn mà các chuyên gia an ninh mạng cần lưu ý. Theo ông, lỗi ngữ pháp và các vấn đề ngôn ngữ khác có thể là dấu hiệu chết người cho thấy một đoạn giao tiếp có khả năng gây hại. Jonathan Jackson cũng lưu ý rằng ChatGPT có thể được sử dụng để hỗ trợ hacker tạo ra các email lừa đảo có vẻ chân thực hơn.

“Ngoài ra, chúng tôi thấy bằng chứng trong các diễn đàn ngầm về việc ChatGPT được sử dụng để tạo phần mềm độc hại mới và cải thiện kỹ năng lập trình của các hacker ít kinh nghiệm hơn. Với bối cảnh không gian mạng đang phát triển như vậy, điều cần thiết là chúng ta phải cảnh giác và trang bị kiến thức để giảm thiểu các mối đe dọa mới nổi này”, Jonathan Jackson cho biết.

Sơn Vân