Hackerské skupiny sponzorované cudzími štátmi mali na dosiahnutie svojich cieľov využívať technológie umelej inteligencie (AI) vyvinuté spoločnosťami Microsoft a OpenAI. Zistenie priniesla spoločná správa obidvoch firiem zo 14. februára 2024. Tá hovorila o jazykových počítačových modeloch, medzi ktoré patria napríklad rôzne verzie ChatGPT. Microsoft od novembra 2023 pôsobí ako pozorovateľ v správnej rade OpenAI a projekty spoločnosti finančne podporuje.
Správa oboch firiem konštatuje, že hackerské skupiny napojené na ruské vojenské spravodajstvo, čínsku a severokórejskú vládu či iránske Revolučné gardy používajú jazykové počítačové modely od OpenAI. Hackeri sa tak snažia zlepšiť dopad a účinnosť svojich kybernetických útokov.
Modus operandi hackerských skupín
Modely ako ChatGPT sú podľa správy zatiaľ v skorých štádiách využitia hackerskými skupinami a doposiaľ neboli nasadené v rozsiahlych útokoch. Viceprezident spoločnosti Microsoft pre bezpečnosť spotrebiteľov Tom Burt v rozhovore pre Reuters ozrejmil, že všeobecne hackeri s technológiami od OpenAI interagujú podobne ako bežný používateľ.
Hackeri jazykové modely využívali na dva hlavné účely. Prvým je najmä zhromažďovanie a spracovávanie informácií z verejne dostupných zdrojov. Napríklad čínske a severokórejské hackerské skupiny kladú umelej inteligencii otázky o štandardoch kybernetickej bezpečnosti v nepriateľských krajinách.
Skupina Forest Blizzard, ktorá je napojená na ruskú vojenskú rozviedku GRU, zase vykonávala s asistenciou AI prieskum komunikačných protokolov satelitov a radarových systémov. Na druhú stranu, skupina Emerald Street zo Severnej Kórey cez AI identifikovala vládnych a mimovládnych aktérov v iných krajinách zodpovedných za tvorbu bezpečnostnej politiky vo vzťahu k Pchjongjangu.
Druhým účelom používania modelov AI hackerskými skupinami je ich zapájanie do útokov pomocou sociálneho inžinierstva s cieľom rozšíriť nebezpečný malvér. Najvýraznejším aktérom v tejto kategórii je skupina Crimson Sandstorm, ktorá je napojená na iránske Revolučné gardy. ChatGPT a iné jazykové počítačové modely jej mali napríklad slúžiť pri formulovaní presvedčivejších phishingových e-mailov.
Crimson Sandstorm sa tiež pokúsila modely využiť na vývoj zdrojového kódu pre softvér, ktorý by dokázal zabrániť detekcii malvéru na poškodených zariadeniach, uvádzajú v spoločnej správe Microsoft a OpenAI.
Súkromný sektor ako strážca etického využitia umelej inteligencie?
Firmy spoločný dokument prezentujú ako snahu o zachovanie transparentnosti pri vývoji a používaní technológií umelej inteligencie. Viceprezident Microsoftu pre bezpečnosť spotrebiteľov Tom Burt v rozhovore pre Reuters poznamenal, že spoločnosti nechcú, aby aktéri, ktorých sledujú a o ktorých vedia, že predstavujú rôzne druhy hrozieb, mali prístup k tejto technológii. Spomenul tiež, že Microsoft a OpenAI voči jednotlivým skupinám zakročia „nezávisle od toho, či došlo k porušeniu zákona alebo podmienok poskytnutia služieb“.
Súkromné spoločnosti majú zvyčajne prostredníctvom podmienok používania služieb nastavené interné normy na zamedzenie nebezpečného zaobchádzania s umelou inteligenciou. V bezplatnej verzii modelu ChatGPT softvér zabráni používateľom vytvárať cez model textový obsah, ktorý vyhodnotí ako konfliktný. Ide napríklad o požiadavku vygenerovať podvodné texty, v ktorých sa ich tvorca vydáva za člena rodiny potrebujúceho pomoc.
Korešpondent spravodajskej stanice BBC pre kybernetickú bezpečnosť Joe Tidy tvrdí, že obdobná kontrola používateľského správania na predplatenej verzii tohto softvéru nefunguje. Keď sa sieť BBC News prihlásila na odber platenej verzie ChatGPT, dokázala cez rozšírenie softvéru s názvom GPT Builder vytvoriť vlastný chatbot, ktorý všetkým požiadavkám o tvorbu podobného obsahu vyhovel.
V kontexte nedávneho rastu schopností týchto technológií čoraz viac štátov vníma potrebu podporiť pravidlá v súkromnom sektore komplexným legislatívnym rámcom.
Regionálne a globálne normy v oblasti využívania AI
V novembri 2023 sa v Spojenom kráľovstve v rámci podujatia AI Safety Summit konala vôbec prvá medzinárodná konferencia ku kybernetickej bezpečnosti. Záverečná deklarácia konferencie, ktorej signatárom je aj Európska únia, volá po regulácii využitia umelej inteligencie cez právne poriadky jednotlivých krajín.
Kvôli globálnemu dosahu kybernetických hrozieb prítomné delegácie zároveň apelovali na nadnárodné riešenie problematiky vývoja a používania umelej inteligencie. Navrhovaným postupom je aj podpora partnerstiev medzi súkromným, verejným a neziskovým sektorom a výskumnými inštitúciami pri tvorbe zásad etického zaobchádzania s nástrojmi umelej inteligencie.
Medzi 29 signatármi záverečného dokumentu figuruje aj Čína a štáty globálneho Juhu, ako Indonézia, Keňa, Nigéria a Rwanda. Toto nové fórum pre spoluprácu v sfére kybernetickej bezpečnosti zatiaľ predstavuje iba deklaráciu spolupráce do budúcna, no nezaväzuje štáty ku konkrétnym krokom. Má však ambíciu stať sa ustáleným formátom medzinárodnej spolupráce v danej oblasti.
Najbližšie dve stretnutia sa budú konať s polročným odstupom v Južnej Kórei a vo Francúzsku počas roka 2024.
Európska únia v súčasnosti prijíma vlastný súbor pravidiel k bezpečnému používaniu umelej inteligencie. Je ním nariadenie o umelej inteligencii, návrh ktorého sa momentálne nachádza uprostred legislatívneho procesu.
CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/
