Anche se il famoso chatbot ChatGPT di OpenAI ha creato un fermento nel mondo degli affari mai visto prima, non tutti i responsabili IT delle aziende hanno accolto il chatbot alimentato da intelligenza artificiale (AI) a braccia aperte.
Dal momento che i dirigenti di Verizon erano preoccupati per i potenziali rischi per la sicurezza posti dai chatbot alimentati da intelligenza artificiale (AI) come ChatGPT di OpenAI, l’azienda ha impedito ai propri dipendenti di utilizzare l’applicazione mentre erano al lavoro.
Inoltre, il Wall Street Journal riporta che JPMorgan Chase & Co. ha proibito ai suoi dipendenti di utilizzare modelli linguistici massivi a causa delle preoccupazioni sulla conformità normativa. Secondo Forbes, numerose altre aziende, tra le quali Amazon, Bank of America, Citigroup, Deutsche Bank, Goldman Sachs e Wells Fargo, hanno seguito l’esempio limitando l’uso di ChatGPT da parte dei propri dipendenti.
Secondo un esame delle attività nei forum di hacker underground condotto da Check Point Research, i criminali online stanno già sviluppando software dannosi con l’aiuto di ChatGPT. Nelle settimane, nei mesi e negli anni a venire, è possibile che l’Intelligenza Artificiale (AI) generativa determini un cambiamento negativo nel panorama dei pericoli.
Sarebbe saggio quindi tenere assolutamente in considerazione le seguenti cinque minacce alla sicurezza associate a ChatGPT in azienda:
Table of Contents
#1 – I pericoli relativi a malware e altri programmi malevoli
Un’Intelligenza Artificiale (AI) generativa che crea codice etico è comunque in grado di scrivere codice dannoso. Gli utenti hanno scoperto che sono in grado di aggirare le protezioni di ChatGPT di OpenAI con relativa facilità, nonostante il software rifiuti i suggerimenti che identifica come chiaramente illegali o dannosi. Gli hacker con intenzioni malevole possono, ad esempio, chiedere a ChatGPT di sviluppare un codice per i test di penetrazione, in modo da poterlo modificare in seguito e utilizzarlo per gli attacchi informatici.
Gli utenti hanno scoperto di essere in grado di aggirare le protezioni di ChatGPT in modo piuttosto semplice, nonostante il software rifiuti i suggerimenti che rileva come chiaramente illegali o dannosi.
Anche se gli sviluppatori di ChatGPT si impegnano costantemente per impedire le richieste di jailbreak che aggirano le limitazioni dell’applicazione, gli utenti continuano immancabilmente a testare i limiti dell’applicazione e a proporre nuove soluzioni. Prendiamo ad esempio il gruppo Reddit che ha regolarmente ingannato ChatGPT facendo apparire un falso personaggio di intelligenza artificiale noto come DAN, abbreviazione della frase “Do Anything Now”. DAN risponde alle domande senza tenere conto di alcuna considerazione etica come fa invece il chatbot originale seguendo il suo addestramento.
Per una guida completa all’utilizzo del più famoso chatbot alimentato da intelligenza artificiale (AI), ChatGPT di OpenAI, corri a leggere il nostro approfondimento:
Tutorial per ChatGPT: come utilizzare ChatGPT di OpenAI
#2 – Attacchi che utilizzano tecniche di social engineering come il phishing e altro ancora
Secondo il “2022 Data Breach Investigations Report” pubblicato da Verizon, il social engineering è coinvolto in una violazione di dati su cinque. Molti leader della cybersicurezza si stanno preparando a un aumento del numero di tentativi di phishing sofisticati in futuro, in quanto è probabile che l’Intelligenza Artificiale (AI) generativa peggiori notevolmente questo problema in corso.
I criminali che utilizzano ChatGPT hanno maggiori possibilità di portare a termine attacchi di social engineering fruttuosi, grazie all’ampio set di dati a cui fornisce accesso. Gli utenti sono in genere in grado di rilevare i tentativi di attacco di phishing cercando segni di cattiva scrittura, come errori ortografici e grammaticali. Tuttavia, con l’aiuto dell’intelligenza artificiale generativa, gli hacker sono in grado di produrre istantaneamente contenuti molto convincenti, modellarli per adattarli a numerosi mezzi, come e-mail, messaggi diretti, telefonate, chatbot, commenti sui social media e siti web falsi, e modificarli per colpire singole vittime attraverso lo spear phishing.
I risultati di ChatGPT potrebbero essere utilizzati dagli aggressori per sviluppare sofisticate campagne di deepfake phishing, se combinati con strumenti di voice-spoofing e di generazione di immagini basati sull’intelligenza artificiale.
#3 – Divulgazione di informazioni riservate
È possibile che gli utenti di ChatGPT di OpenAI mettano erroneamente a rischio informazioni sensibili se non hanno le conoscenze e la formazione adeguate in materia di sicurezza. Secondo uno studio condotto da un fornitore di protezione dei dati chiamato Cyberhaven, nel corso di una sola settimana all’inizio del 2023, i dipendenti di un’azienda media di 100.000 persone inseriscono dati aziendali riservati in ChatGPT 199 volte.
Gli utenti potrebbero essere sorpresi di sapere che la versione di ChatGPT disponibile al pubblico non mantiene i loro input privati, ma li utilizza per imparare dalle richieste precedenti e rispondere in modo appropriato a quelle nuove. Si noti che le connessioni API di ChatGPT a livello aziendale possono contribuire a proteggere la privacy dei dati.
I ricercatori di Cyberhaven hanno fornito alcuni esempi ipotetici, come il seguente:
“Immaginate uno scenario in cui un dirigente di alto livello utilizzi ChatGPT per richiedere la creazione di diapositive in PowerPoint per una presentazione interna e poi copi e incolli nell’app un documento che delinea la strategia aziendale come riferimento.
I dettagli sulle intenzioni strategiche dell’azienda potrebbero essere ricavati direttamente dal documento strategico aziendale riservato che il dirigente ha condiviso con gli utenti di ChatGPT in futuro, e questo potrebbe accadere anche se gli utenti lavorano per aziende concorrenti.”
#4 – Un livello di potere più elevato tra i truffatori online
Si prevede che l’uso dell’IA generativa avrà un’ampia gamma di applicazioni educative vantaggiose, tra cui il miglioramento della formazione degli analisti di sicurezza di primo livello. D’altra parte, ChatGPT può anche fornire agli aspiranti hacker malintenzionati un metodo per affinare rapidamente ed efficacemente il proprio talento, che è il lato opposto della medaglia.
Ad esempio, un attore di minacce alle prime armi potrebbe chiedere a ChatGPT come attaccare un sito web o come implementare un ransomware. Come si è detto, le restrizioni di OpenAI sono state concepite per impedire al chatbot di partecipare ad attività palesemente illegali. Tuttavia, l’hacker con cattive intenzioni potrebbe essere in grado di riformulare la domanda in modo tale che ChatGPT risponda con istruzioni dettagliate e passo-passo se si finge un pen tester e lo inganna facendogli credere di essere lui a porre la domanda.
È possibile che strumenti di intelligenza artificiale generativa come ChatGPT possano facilitare l’acquisizione di competenze tecniche da parte di milioni di nuovi hacker, con un conseguente aumento del livello di rischio per la sicurezza in generale.
Se desideri una guida completa sul Margin Trading e l’importanza della comprensione profonda di leva finanziare ed esposizione sui mercati, non perdere il nostro approfondimento:
Cos’è il Margin Trading e come funziona nei mercati delle criptovalute
#5 – Attacchi contro le API
Il numero di attacchi alle interfacce di programmazione delle applicazioni (API) è in costante aumento, parallelamente alla crescita esponenziale del numero di API utilizzate nelle aziende.Il numero di aggressori distinti che mirano a colpire le interfacce di programmazione delle applicazioni (API) dei clienti è aumentato dell’874% negli ultimi sei mesi del 2022, secondo gli esperti che lavorano per un’azienda di protezione delle API chiamata Salt protection.
Gli analisti di Forrester hanno azzardato la previsione che in futuro gli hacker potrebbero utilizzare l’intelligenza artificiale (AI) generativa per scoprire le vulnerabilità uniche delle API, un processo che normalmente richiederebbe una grande quantità di sforzi e di tempo.
In teoria, gli aggressori potrebbero essere in grado di costringere ChatGPT ad analizzare la documentazione delle API, raccogliere informazioni e creare query API nel tentativo di scoprire e sfruttare i bug in modo più efficiente ed efficace.
*NB: Le riflessioni e le analisi condivise sono da intendere ad esclusivo scopo divulgativo. Quanto esposto non vuole quindi essere un consiglio finanziario o di investimento e non va interpretato come tale. Ricorda sempre che le scelte riguardo i propri capitali di rischio devono essere frutto di ricerche e analisi personali. L’invito è pertanto quello di fare sempre le proprie ricerche in autonomia.