ChatGPT nadaje się do rozmaitych zastosowań. Choć teoretycznie mechanizmy wbudowane w narzędzie OpenAI powinny zapobiegać najpoważniejszym nadużyciom, to badaczowi z firmy Forcepoint udało się zmusić je do napisania szkodliwego oprogramowania, które jest w stanie uniknąć większości dostępnych obecnie skanerów antywirusowych. Wymagało to bardzo ograniczonej wiedzy w zakresie programowania, a sam proces okazał się nad wyraz szybki.

Aaron Mulgrew z firmy Forcepoint zmusił ChatGPT do napisania wszystkich potrzebnych fragmentów kodu złośliwego oprogramowania. Aplikacja była w stanie uniknąć wykrycia przez dostępne skanery antywirusowe.

Ekspert bezpieczeństwa Forcepoint, Aaron Mulgrew, postanowił podjąć próbę wykorzystania ChatGPT do stworzenia złośliwego oprogramowania zero-day exploit. Badacz nie miał do tej pory większego doświadczenia w pisaniu tego typu aplikacji. Do całego procesu postanowił posłużyć się językiem programowania Go i steganografią, która pozwala ukryć określone dane w zwykłym pliku w sposób zapobiegający ich wykryciu. Początkowe próby nakłonienia narzędzia OpenAI do napisania złośliwego oprogramowania spełzły oczywiście na niczym, ponieważ ma ono wbudowane mechanizmy zabezpieczające przed tego typu zastosowaniem.

Mulgrew postanowił zatem posłużyć się bardziej kreatywną metodą. Poprosił ChatGPT o przygotowanie krok po kroku małych porcji pomocniczego kodu. Narzędzie OpenAI dało się oszukać i zrealizowało prośby eksperta. Następnie ręcznie złożył on napisane fragmenty w odpowiedni plik wykonawczy. Nie wymagało to praktycznie żadnej dodatkowej pracy, bo ChatGPT wykonał ją poprawnie w całości sam. W rezultacie badacz otrzymał oprogramowanie, którego zadaniem było skanowanie dysku C: w poszukiwaniu ważnych dokumentów, co może być przydatne w przypadku ataku na komputery należące do wysoko postawionych osób. Aplikacja automatycznie wysyłała także rezultaty na serwery Dysku Google.

Mulgrew postanowił sprawdzić, jak z zagrożeniem poradzą sobie skanery antywirusowe. Wgrał zatem plik do serwisu VirusTotal. Jedynie 5 z 65 skanerów wykryło, że oprogramowanie nosi znamiona szkodliwego. Tak niewielka liczba pozytywnych wyników jest bardzo często ignorowana przez użytkowników, ponieważ zwykle w takich przypadkach mamy do czynienia z fałszywym alarmem. Badacz postanowił podjąć wyzwanie, żeby jeszcze bardziej zminimalizować wykrywalność. Do procesu optymalizacji także wykorzystał ChatGPT. Udało się nakłonić narzędzie do ukrycia części szkodliwego kodu. Wymagało to, co prawda, odpowiedniego obejścia zabezpieczeń wbudowanych w usługę, ale ostateczny rezultat może imponować. Po wszystkich zmianach, żaden skaner wykorzystywany przez VirusTotal nie rozpoznał zagrożenia.

Szacuje się, że wykonanie podobnej pracy przez zespół 5-10 programistów mogłoby trwać nawet kilka tygodni. Ekspertowi Forcepoint zajęło to zaledwie kilka godzin. Zagadnienie to pokazuje, jak duży potencjał drzemie w usługach pokroju ChatGPT, a także zwraca uwagę na kwestię potencjalnych zagrożeń, które wiążą się z ich upowszechnieniem. Choć narzędzie OpenAI ma ograniczenia w zakresie prób wykorzystania go do pisania złośliwych aplikacji, to wystarczająco sprytny użytkownik może je przy odrobinie samozaparcia ominąć. Trudno jednak obwiniać za to sam ChatGPT, gdyż dalsze ograniczenia jego możliwości prowadziłyby do znaczącego zmniejszenia potencjału usługi w mniej szkodliwych zastosowaniach.

Źródło: Forcepoint, TechSpot