Können die ChatGPT-Malware-Fähigkeiten eine echte Bedrohung für die Cybersicherheit darstellen?

Können die ChatGPT-Malware-Fähigkeiten eine echte Bedrohung für die Cybersicherheit darstellen?

ChatGPT scheint derzeit ziemlich unausweichlich, denn überall, wo man hinschaut, stößt man auf Geschichten, die seine Fähigkeiten bewundern. Wir haben gesehen, wie es Musik schreiben, 3D-Animationen rendern und Musik komponieren kann. Wenn Sie es sich vorstellen können, kann ChatGPT es wahrscheinlich versuchen.

Und genau das ist das Problem. In der Tech-Community herrscht derzeit allerhand Unmut, und Kommentatoren befürchten häufig, dass KI zu einer Malware-Apokalypse führen wird, bei der selbst die Hacker mit den grünsten Fingern unaufhaltsame Trojaner und Ransomware heraufbeschwören.

Aber stimmt das wirklich? Um das herauszufinden, habe ich mit mehreren Cybersicherheitsexperten gesprochen, um zu erfahren, was sie von den Malware-Fähigkeiten von ChatGPT halten, ob sie über das Missbrauchspotenzial besorgt sind und was Sie tun können, um sich in dieser neuen Welt zu schützen.

Fragwürdige Fähigkeiten

Eine Person tippt auf einem Laptop, auf dem die generative KI-Website ChatGPT angezeigt wird.
Matheus Bertelli / Pexels

Einer der Hauptvorteile von ChatGPT ist seine Fähigkeit, komplizierte Aufgaben mit nur wenigen einfachen Eingabeaufforderungen auszuführen, insbesondere in der Welt der Programmierung. Es besteht die Befürchtung, dass dies die Einstiegshürden für die Erstellung von Malware senken würde, was möglicherweise zu einer Zunahme von Virenschreibern führen könnte, die sich darauf verlassen, dass KI-Tools ihnen die schwere Arbeit abnehmen.

Joshua Long, leitender Sicherheitsanalyst beim Sicherheitsunternehmen Intego, veranschaulicht diesen Punkt. „Wie jedes Werkzeug in der physischen oder virtuellen Welt kann Computercode für Gutes oder Böses verwendet werden“, erklärt er. „Wenn Sie beispielsweise Code anfordern, der eine Datei verschlüsseln kann, kann ein Bot wie ChatGPT Ihre wahren Absichten nicht kennen. Wenn Sie behaupten, dass Sie Verschlüsselungscode benötigen, um Ihre eigenen Dateien zu schützen, wird Ihnen der Bot glauben – selbst wenn Ihr wahres Ziel darin besteht, Ransomware zu erstellen.“

ChatGPT verfügt über verschiedene Sicherheitsvorkehrungen, um solche Dinge zu bekämpfen, und der Trick für Virenentwickler besteht darin, diese Schutzmaßnahmen zu umgehen. Fordern Sie ChatGPT unverblümt auf, einen wirksamen Virus zu erstellen, und es wird sich einfach weigern. Sie müssen kreativ werden, um es zu überlisten und es dazu zu bringen, Ihren Befehlen gegen sein besseres Wissen zu folgen. Wenn man bedenkt, was Menschen mit Jailbreaks in ChatGPT tun können, scheint die Möglichkeit, Malware mithilfe von KI zu erstellen, theoretisch möglich. Tatsächlich wurde dies bereits demonstriert, also wissen wir, dass es möglich ist.

Doch nicht alle geraten in Panik. Martin Zugec, Technical Solutions Director bei Bitdefender, hält die Risiken noch für relativ gering. „Die Mehrheit der unerfahrenen Malware-Autoren verfügt wahrscheinlich nicht über die erforderlichen Fähigkeiten, um diese Sicherheitsmaßnahmen zu umgehen. Daher ist das Risiko, das von Chatbot-generierter Malware ausgeht, derzeit noch relativ gering“, sagt er.

„Von Chatbots generierte Malware ist in letzter Zeit ein beliebtes Diskussionsthema“, fährt Zugec fort, „aber es gibt derzeit keine Hinweise darauf, dass sie in naher Zukunft eine erhebliche Bedrohung darstellt.“ Und dafür gibt es einen einfachen Grund. Laut Zugec „ist die Qualität des von Chatbots erstellten Malware-Codes tendenziell gering, was ihn für erfahrene Malware-Autoren, die in öffentlichen Code-Repositories bessere Beispiele finden können, zu einer weniger attraktiven Option macht.“

Verwandt :  Meta plant den Start von Chatbots mit Persönlichkeit im September: Datenschutzbedenken steigen
ChatGPT-App läuft auf einem iPhone.
Joe Maring / Moyens I/O

Obwohl es also durchaus möglich ist, ChatGPT dazu zu bringen, Schadcode zu erstellen, wird laut Zugec jeder, der über die nötigen Fähigkeiten verfügt, um den KI-Chatbot zu manipulieren, von dem schlechten Code, den er erstellt, wahrscheinlich nicht beeindruckt sein.

Aber wie Sie sich vorstellen können, steht die generative KI erst am Anfang. Und für Long bedeutet das, dass die Hacker-Risiken, die ChatGPT mit sich bringt, noch nicht in Stein gemeißelt sind.

„Es ist möglich, dass der Aufstieg von LLM-basierten KI-Bots zu einem kleinen bis moderaten Anstieg neuer Malware oder zu einer Verbesserung der Malware-Funktionen und der Umgehung von Antivirenprogrammen führt“, sagt Long und verwendet dabei ein Akronym für die großen Sprachmodelle, die KI-Tools wie ChatGPT zum Aufbau ihres Wissens verwenden. „Zum jetzigen Zeitpunkt ist jedoch nicht klar, welchen direkten Einfluss Tools wie ChatGPT auf reale Malware-Bedrohungen haben oder haben werden.“

Der Freund eines Phishers

Person, die auf einer Computertastatur tippt.
Bild mit Genehmigung des Urheberrechtsinhabers verwendet

Wenn ChatGPTs Fähigkeiten beim Code-Schreiben noch nicht ausreichen, könnte es dann auch auf andere Weise eine Bedrohung darstellen, etwa durch das Schreiben effektiverer Phishing- und Social-Engineering-Kampagnen? Hier sind sich die Analysten einig, dass das Missbrauchspotenzial viel größer ist.

Ein potenzieller Angriffsvektor für viele Unternehmen sind die Mitarbeiter des Unternehmens, die durch Tricks oder Manipulationen versehentlich Zugriffe gewähren können, die nicht erlaubt sind. Hacker wissen das, und es gab zahlreiche spektakuläre Social-Engineering-Angriffe, die sich als verheerend erwiesen haben. So wird beispielsweise angenommen, dass die nordkoreanische Lazarus Group ihren Einbruch in die Systeme von Sony im Jahr 2014 – bei dem unveröffentlichte Filme und persönliche Informationen an die Öffentlichkeit gelangten – damit begann, dass sie sich als Personalvermittler ausgab und einen Sony-Mitarbeiter dazu brachte, eine infizierte Datei zu öffnen.

Dies ist ein Bereich, in dem ChatGPT Hackern und Phishern dabei helfen könnte, ihre Arbeit erheblich zu verbessern. Wenn Englisch beispielsweise nicht die Muttersprache eines Bedrohungsakteurs ist, könnte er einen KI-Chatbot verwenden, um eine überzeugende Phishing-E-Mail für ihn zu schreiben, die sich an englischsprachige Personen richtet. Oder es könnte verwendet werden, um schnell eine große Anzahl überzeugender Nachrichten in viel kürzerer Zeit zu erstellen, als menschliche Bedrohungsakteure für dieselbe Aufgabe benötigen würden.

Die Situation könnte noch schlimmer werden, wenn andere KI-Tools ins Spiel kommen. Wie Karen Renaud, Merrill Warkentin und George Westerman in Sloan Management Review des MITkönnte ein Betrüger mit ChatGPT ein Skript erstellen und es von einer Deepfake-Stimme, die sich als CEO eines Unternehmens ausgibt, am Telefon vorlesen lassen. Für einen Mitarbeiter des Unternehmens, der den Anruf entgegennimmt, würde die Stimme genauso klingen – und sich genauso verhalten – wie sein Chef. Wenn diese Stimme den Mitarbeiter auffordert, einen Geldbetrag auf ein neues Bankkonto zu überweisen, könnte der Mitarbeiter aufgrund der Ehrerbietung, die er seinem Chef entgegenbringt, durchaus auf die List hereinfallen.

Wie Long es ausdrückt: „Nicht mehr [threat actors] müssen sich auf ihre eigenen (oft unvollkommenen) Englischkenntnisse verlassen, um eine überzeugende Betrugs-E-Mail zu schreiben. Sie müssen sich auch keine eigenen cleveren Formulierungen ausdenken und diese durch Google Translate laufen lassen. Stattdessen verfasst ChatGPT – völlig ahnungslos, dass hinter der Anfrage möglicherweise eine böswillige Absicht steckt – den gesamten Text der Betrugs-E-Mail gerne in jeder gewünschten Sprache.“

Verwandt :  Der Tennisjournalist stellt die Siege von Carlos Alcaraz in Abwesenheit von Novak Djokovic in Frage

Und alles, was nötig ist, um ChatGPT dazu zu bringen, dies tatsächlich zu tun, ist eine geschickte Eingabeaufforderung.

Kann ChatGPT Ihre Cybersicherheit verbessern?

Auf einem Laptop wurde die ChatGPT-Website geöffnet.
Shutterstock

Doch es ist nicht alles schlecht. Dieselben Eigenschaften, die ChatGPT zu einem attraktiven Tool für Bedrohungsakteure machen – seine Geschwindigkeit, seine Fähigkeit, Fehler im Code zu finden – machen es zu einer hilfreichen Ressource für Cybersicherheitsforscher und Antivirenfirmen.

Long weist darauf hin, dass Forscher bereits KI-Chatbots verwenden, um bisher unentdeckte („Zero-Day“) Schwachstellen im Code zu finden. Dazu laden sie einfach den Code hoch und fragen ChatGPT, ob es potenzielle Schwachstellen erkennen kann. Das bedeutet, dass dieselbe Methodik, die Abwehrmaßnahmen schwächen könnte, auch zu deren Stärkung eingesetzt werden kann.

Und während ChatGPTs Hauptattraktion für Bedrohungsakteure in seiner Fähigkeit liegt, plausible Phishing-Nachrichten zu schreiben, können diese Fähigkeiten Unternehmen und Benutzern dabei helfen, zu lernen, worauf sie achten müssen, um nicht selbst Opfer eines Betrugs zu werden. ChatGPT könnte auch zum Reverse Engineering von Malware verwendet werden, was Forschern und Sicherheitsfirmen dabei hilft, schnell Gegenmaßnahmen zu entwickeln.

Letztendlich ist ChatGPT an sich weder gut noch schlecht. Wie Zugec betont: „Das Argument, dass KI die Entwicklung von Malware erleichtern kann, könnte auch für jeden anderen technologischen Fortschritt gelten, von dem Entwickler profitieren, wie etwa Open-Source-Software oder Code-Sharing-Plattformen.“

Mit anderen Worten: Solange die Sicherheitsvorkehrungen weiter verbessert werden, wird die Bedrohung, die selbst von den besten KI-Chatbots ausgeht, möglicherweise nie so groß werden wie kürzlich vorhergesagt.

So schützen Sie sich

Der Name ChatGPT neben einem OpenAI-Logo auf einem schwarzweißen Hintergrund.
Bild mit Genehmigung des Urheberrechtsinhabers verwendet

Wenn Sie sich über die Bedrohungen durch KI-Chatbots und die Malware, die sie missbrauchen können, Sorgen machen, können Sie einige Schritte unternehmen, um sich zu schützen. Zugec sagt, es sei wichtig, einen „mehrschichtigen Verteidigungsansatz“ zu verfolgen, der „die Implementierung von Endpunktsicherheitslösungen, die Aktualisierung von Software und Systemen sowie die Wachsamkeit gegenüber verdächtigen Nachrichten oder Anfragen umfasst“.

Long empfiehlt, Dateien zu meiden, die Sie beim Besuch einer Website automatisch installieren müssen. Wenn Sie eine App aktualisieren oder herunterladen möchten, sollten Sie diese über den offiziellen App Store oder die Website des Softwareanbieters herunterladen. Und seien Sie vorsichtig, wenn Sie auf Suchergebnisse klicken oder sich bei einer Website anmelden – Hacker können einfach dafür bezahlen, dass ihre betrügerischen Websites oben in den Suchergebnissen erscheinen, und Ihre Anmeldeinformationen mit sorgfältig gestalteten, nachgeahmten Websites stehlen.

ChatGPT wird nicht verschwinden, ebenso wenig wie die Malware, die weltweit so viel Schaden anrichtet. Auch wenn die Bedrohung durch ChatGPTs Codierungsfähigkeiten derzeit vielleicht übertrieben ist, könnte seine Fähigkeit, Phishing-E-Mails zu erstellen, allerlei Kopfschmerzen bereiten. Es ist jedoch durchaus möglich, sich vor der Bedrohung zu schützen und sicherzustellen, dass Sie nicht zum Opfer werden. Im Moment können ein Höchstmaß an Vorsicht – und eine solide Antiviren-App – dazu beitragen, Ihre Geräte sicher und geschützt zu halten.

Moyens I/O-Personal. motivierte Sie und gab Ratschläge zu Technologie, persönlicher Entwicklung, Lebensstil und Strategien, die Ihnen helfen werden.