A Sophos kutatói a közelmúltban mélyebben vizsgálták a generatív MI gyors terjedésének hatását a kiberbűnözési trendekre. A kép ellentmondásos: egyfelől kiderült, hogy LLM-ekkel minimális technikai tudással is komoly támadó eszközöket építhetnek a bűnözők, másfelől a kiberbűnözők még nem bíznak a technológiában.

A lehetőségeket demonstrálandó a kutatók egy egyszerű e-kereskedelmi sablonból LLM-alapú eszközökkel építettek működőképes webhelyet (a kísérletről itt olvashat bővebben). MI-vel generáltatták az oldalon megjelenő képeket, hanganyagokat, termékleírásokat. Szintén MI-vel hoztak létre a webhelyhez hamis facebookos bejelentkezési szekciót és fizetési oldalt, amellyel el lehetne lopni a felhasználók bejelentkezési adatait és hitelkártyaadatait. A weboldal létrehozásához és működtetéséhez minimális technikai tudás kellett, ráadásul az első weboldal mintájára percek alatt lényegében gombnyomásra lehetett ugyanazzal az eszközzel több száz hasonló webhelyet generálni.

De akkor miért nem használják tömegesen?

Ehhez képest a kutatók azt találták, hogy a dark weben meglepően kevés szó esik az LLM-ekről, és a megszólalások, vélemények igencsak ellentmondásosak. A Sophos négy jelentős fórumot vizsgált: az Exploitot, ahol főleg Access-as-a-Service listák, lopott adatok cserélnek gazdát; az orosz nyelvű XSS-t, amely piactérként és szakmai fórumként is jelentős; a Breach Forumst, amely főleg adatszivárgásra szakosodott; valamint a Hackforumst, amely főleg ún. script kiddie-k gyűjtőhelye.

Bár a dark web piacterein megjelentek a speciális "hekker" LLM-ek (pl. WormGPT, FraudGPT, illetve rokonaik, mint az EvilGPT, a DarkGPT, a PentesterGPT és az XXXGPT), és értékesítették is ezeket, a beszélgetések elemzéséből kiderült: az MI egyelőre nem forró téma. A négyből két fórumon például 100-nál is kevesebb ilyen témájú bejegyzést találtak – ezek egy része is a ChatGPT-fiókok törhetőségét boncolgatta –, miközben pl. a kriptovalutákkal közel ezer bejegyzés foglalkozott.

A bejegyzések, hozzászólások többségben szkepticizmusról árulkodott. Még az is felmerült néhány hozzászólásban, hogy ez az egész csak átverés. De a kiberbűnözők többsége egyelőre azon az állásponton van, hogy az LLM-ek többsége túlértékelt, fölösleges, nem alkalmas rosszindulatú programok generálására. A legtöbben azonban kifejezetten kiberbűnözés-specifikus aggályokat fogalmaztak meg: az LLM által generált kód nem biztosítja a támadók biztonságát, a vírusvédelmek és az EDR-ek (endpoint detection and response) gyorsan detektálják az ilyen támadásokat.

De ettől még használnak MI-t, de zömmel a social engineering jellegű támadások támogatására. A kutatók arra is találtak példákat, hogy hekkerek LLM segítségével hoztak létre támadó eszközt, de ezek megmaradtak a proof-of-concept szintjén, illetve voltak jelei annak is, hogy egyesek a hétköznapi kódolás gyorsítására használtak generatív MI-t.

És persze kiderült: a kiberbűnözőket is ugyanazok a filozófiai és etikai kérdések foglalkoztatják a mesterséges intelligenciával kapcsolatban, mint bárki mást.

A Cybercriminals can’t agree on GPTs című tanulmány egy kattintásnyira érhető el.