ظهرت تطبيقات كثيرة لتقنيات التعلم الآلي في معظم المجالات خلال الفترة الأخيرة، على الرغم من أن مبادئ التعلم الآلى قد وضعت منذ نحو نصف قرن، إذ إنه مع نمو قوة الحوسبة، تعلمت الحواسيب أولًا تمييز الأجسام في الصور ولعب اللعبة الصينية (Go) بشكل أفضل من البشر، ثم رسمت الصور بناء على أوصاف نصية، كما أصبحت الآن قادرة على إجراء محادثة متماسكة مع البشر.
أصبحت الاكتشافات العلمية في مجال الذكاء الاصطناعي منذ عام 2021 في متناول الجميع؛ على سبيل المثال: يمكنك الاشتراك في MidJourney وتوليد الصور التي تريدها من خلال وصف نصي فقط، كما يمكنك استخدام روبوت (ChatGPT) للحصول على إجابات سريعة عن أسئلتك.
ولكن إذا نظرنا إلى الأساس الذي بني عليه روبوت (ChatGPT)، سنجد أنه عبارة عن نموذج لغوي كبير وهو (GPT) دُرب على مجموعة ضخمة من النصوص عبر الإنترنت، التي يتذكر منها الكلمات، والجمل، والفقرات التي تُجمع بشكل متكرر وكيفية ترابطها. وبمساعدة العديد من الحيل التقنية والمحاولات المستمرة من التدريب مع البشر تتطور النموذج وأصبح قادر على إجراء حوار بلغة طبيعية مع البشر.
ولأنه يمكنك العثور على كل شيء تقريبًا عبر الإنترنت؛ فإن النموذج قادر على إجراء حوار بشكل طبيعي حول جميع الموضوعات تقريبًا: بدءًا من الموضة وتاريخ الفن إلى البرمجة وفيزياء الكم.
يجد العلماء والصحفيون والمتحمسون العاديون المزيد من التطبيقات لروبوت ChatGPT، إذ يحتوي موقع (Awesome ChatGPT prompts) على قائمة من المطالبات التي تسمح بتبديل الأدوار مع روبوت ChatGPT بحيث يستجيب بأسلوب غاندالف أو بعض الشخصيات التي ظهرت في الأعمال الأدبية الأخرى، أو يكتب التعليمات البرمجية بلغة Python، وخطابات الأعمال والسير الذاتية، وحتى يُقلد محطة Linux.
موضوعات ذات صلة بما تقرأ الآن:
ومع ذلك، فإن ChatGPT لا يزال مجرد نموذج لغوي، إذ ستجده في بعض الأحيان يتحدث عن هراء مقنع مثل العديد من البشر، وقد حدث ذلك حينما أشار في إجاباته إلى دراسات علمية غير موجودة. لذا تعامل دائمًا مع محتوى ChatGPT بحذر.
ولكن كل ذلك لا ينفي حقيقة أن روبوت (ChatGPT) حتى في شكله الحالي مفيد في العديد من العمليات والمجالات العملية. فيما يلي سنستعرض كيف يمكن لهذا الجيل الجديد من روبوتات الدردشة التفاعلية أن يشكل تهديدا كبيرًا في مجال الأمن السيبراني، وكيف يمكن استخدامه في تحديد المخاطر المحتملة وحتى إنشاء استراتيجيات دفاعية؟
1- إنشاء البرامج الضارة:
يبلغ مجرمو الأمن السيبراني المبتدئون في المنتديات السرية الخاصة بهم عن كيفية استخدامهم روبوت ChatGPT في إنشاء أحصنة طروادة جديدة، لأن الروبوت قادر على كتابة التعليمات البرمجية، إذا وصفت بإيجاز الوظيفة المطلوبة، فعلى سبيل المثال إذا كتبت له (حفظ جميع كلمات المرور في الملف X وإرسالها عبر HTTP POST إلى الخادم Y) فيمكنك الحصول على برمجية ضارة (infostealer) بسيطة دون أن يكون لديك أي من مهارات البرمجة على الإطلاق.
ولكن ذلك لم يقلق خبراء الأمن السيبراني، لأنه إذا اُستخدمت التعليمات البرمجية التي كتبها روبوت الدردشة بالفعل، ستكشفها الحلول الأمنية وتحييدها بسرعة وكفاءة مثل جميع البرامج الضارة السابقة التي أنشأها البشر. بالإضافة إلى ذلك، إذا لم يتحقق مبرمج ذو خبرة من هذه التعليمات البرمجية، فإنه من المرجح أن تحتوي البرامج الضارة على أخطاء خفية وعيوب منطقية من شأنها أن تجعلها أقل فاعلية.
على الأقل في الوقت الحالي، يمكن لروبوتات الدردشة أن تتنافس إلا مع كتاب الفيروسات المبتدئين فقط.
2- تحليل البرامج الضارة:
عندما يدرس محللو (InfoSec) التطبيقات المشبوهة الجديدة، فإنهم يعكسون هندسة التعليمات البرمجية الزائفة أو التعليمات البرمجية التي كُتبت استنادًا إلى التعلم الآلي، في محاولة لمعرفة كيفية عملها. وفي هذا الصدد ستجد أن روبوت الدردشة قادر بالفعل على شرح ما يفعله جزء معين من التعليمات البرمجية بسرعة.
وقد طور (إيفان كوياتكوفسكي) الباحث الأمني في فريق كاسبرسكي العالمي للبحث والتحليل مكون إضافي IDA Pro يقوم بذلك بالضبط، وقد اُختبر هذا المكون مع النموذج اللغوي (davinci-003) – الذي طورته شركة (OpenAI) أيضًا والذي يعد نظير نموذج GPT – وقد تمكن المكون في حالات كثيرة من تعيين أسماء مشروعة للوظائف تلقائيًا، وحدد خوارزميات التشفير في الكود ومعلماتها.
3- البحث عن نقاط الضعف:
يقوم روبوت الدردشة بقراءة التعليمات البرمجية الزائفة للتطبيق الذي فُك تشفيره ويحدد الأماكن التي قد تحتوي على نقاط ضعف. علاوة على ذلك، يوفر روبوت الدردشة التعليمات البرمجية Python المصممة لاستغلال نقاط ضعف التعليمات البرمجية POC. من المؤكد أن روبوت الدردشة يمكن أن يرتكب جميع أنواع الأخطاء، في كل من البحث عن نقاط الضعف وكتابة التعليمات البرمجية POC، ولكن في شكله الحالي فإن الأداة مفيدة لكل من المهاجمين والمدافعين.
4- تقديم الاستشارات الأمنية:
لأن روبوت ChatGPT يعرف ما يقوله الناس عن الأمن السيبراني عبر الإنترنت، فإن نصيحته حول هذا الموضوع تبدو مقنعة. ولكن، كما هو الحال مع أي نصيحة مقدمة من روبوت دردشة، لا تعرف أبدًا من أين جاءت بالضبط، لذلك من كل 10 نصائح رائعة قد يكون هناك واحدة عديمة القيمة. ومع ذلك، فإن النصائح الموجودة في لقطة الشاشة التالية على سبيل المثال كلها سليمة:
5- تطوير هجمات التصيد الاحتيالي:
تُعد كتابة النصوص المقنعة نقطة قوية في النموذج اللغوي (GPT -3) الذي يستند روبوت ChatGPT إليه في عمله، لذا فمن المحتمل استخدامه في الهجمات المؤتمتة للتصيد الاحتيالي الموجّه. تكمن المشكلة الرئيسية في رسائل البريد الإلكتروني للتصيد الاحتيالي الجماعي في أنها لا تبدو صحيحة، مع وجود الكثير من النصوص العامة التي لا تتحدث مباشرة إلى المستلم. أما بالنسبة للتصيد الاحتيالي الموجّه، عندما يكتب مجرم الأمن السيبراني بريدًا إلكترونيًا مباشرًة إلى ضحية واحدة يكون ذلك مكلفًا للغاية.
ويعد روبوت ChatGPT هو أداة تغيير توازن القوى بشكل جذري في هجمات التصيد الاحتيالي الموجّه، لأنه يسمح للمهاجمين بإنشاء رسائل بريد إلكتروني مقنعة وشخصية على نطاق واسع.
لكن هجمات التصيد الاحتيالي الكبرى تتكون عادة من سلسلة من رسائل البريد الإلكتروني، يكتسب كل منها تدريجيًا المزيد من ثقة الضحية. لذلك بالنسبة لرسائل البريد الإلكتروني الثانية والثالثة، والتاسعة، سيوفر ChatGPT الكثير من الوقت لمجرمي الأمن السيبراني. نظرًا لأن روبوت الدردشة يتذكر سياق المحادثة، يمكنه صياغة رسائل البريد الإلكتروني اللاحقة بشكل جيد من خلال توجيه قصير وبسيط للغاية.
علاوة على ذلك، يمكن بسهولة تغذية استجابة الضحية في النموذج، مما ينتج عنه متابعة مقنعة في ثوانٍ. لأنه من بين الأدوات التي يمكن للمهاجمين استخدامها هي المراسلات المنمقة، وبالنظر إلى عينة صغيرة فقط من نمط معين، يمكن لروبوت الدردشة تطبيقها بسهولة في رسائل أخرى. وهذا يجعل من الممكن إنشاء رسائل بريد إلكتروني مزيفة مقنعة ظاهريًا من موظف إلى آخر.
يعني كل هذا أن عدد هجمات التصيد الاحتيالي الناجحة سيزداد، وسيصبح روبوت الدردشة مقنعًا بالقدر نفسه الموجود في الرسائل التي يكتبها البشر. فما الحل؟
يعمل خبراء تحليل المحتوى بنشاط على تطوير أدوات لكشف المحتوى الذي تكتبه روبوتات الدردشة التفاعلية مثل روبوت (ChatGPT)، ولكن الأمر يتطلب المزيد من الوقت لتحديد مدى فاعلية هذه الأدوات. لذلك في الوقت الحالي، يقدم خبراء الأمن في شركة كاسبرسكي نصيحتين فقط، وهما: اليقظة و التدريب على التوعية بالأمن السيبراني.
بالإضافة إلى نصيحة جديدة؛ وهي تعلم كيفية اكتشاف النصوص التي تكتبها الروبوتات بنفسك، أي نعم لا يمكن رصد الفرق بالعين نظرًا لتطور نماذج معالجة اللغة الطبيعية، ولكن المراوغات الأسلوبية الصغيرة والتناقضات الصغيرة لم تتقنها الروبوتات بعد، كما يمكنك استخدام هذه اللعبة للتدرب على اكتشاف الفرق بين النص البشري والنص المكتوب آليًا.
في النهاية؛ لا شك أن التكنولوجيا سلاح ذو حدين، وروبوت ChatGPT ينطبق عليه ذلك أيضًا، لذلك يمكن أن يكون مفيدًا في مجال الأمن السيبراني أو ضارًا ولكن الأمر يعتمد على كيفية استخدامه.