03-5615507
 
מגה מיכשור
כתבות
בינה מלאכותית מיכשור
לעמוד קודם

ההשפעה החברתית של ChatGPT

צ'סטר וישנייבסקי |  
05/02/2023
זמן קריאה: 3 דק'

בסוף שנת 2022 שחררה חברת OpenAI את הצ'טבוט מבוסס בינה המלאכותית ChatGPT, שמיד עורר תשומת לב רבה בעולם הטכנולוגיה בזכות תגובותיו המפורטות והרהוטות והיכולת להיעזר בו, בין השאר, לחיבור מאמרים ולכתיבת קוד לתוכנות מחשב.

כמומחה אבטחת סייבר, ניגשתי לעשות מה שאנשים כמוני אוהבים: למתוח את הגבולות ולבדוק אם אצליח לגרום ל- ChatGPTלעשות משהו אסור או מעשה זדוני, לבדוק אם פושעי סייבר או מרגלי סייבר יוכלו להיעזר ב-ChatGPT כדי לבצע סוגים חדשים של מתקפות סייבר.

כמו עם כל כלי אחר, גם כאן התשובה חיובית, ואנשים בעלי כוונת זדון יוכלו לרתום את ההישג המדעי הנהדר הזה להסבת נזק. אבל בניגוד למה שאולי נדמה במבט ראשון, הסכנה ב-ChatGPT לא נמצאת במישור הטכנולוגי, אלא החברתי.

אמנם אפשר להערים על ChatGPT לכתוב קוד מחשב זדוני, אבל מוצרי אבטחת סייבר מנתחים קוד מחשב, וקובעים ברמת מהימנות גבוהה אם הוא זדוני או בטוח לשימוש בחלקיקי שנייה. לפיכך לא כאן טמונה הסכנה הגדולה. טכנולוגיה אחת תמיד תוכל להתגבר על טכנולוגיה אחרת.

נקודת התורפה של טכנולוגיות ומנגנוני האבטחה האלה היא מתקפות הנדסה חברתית שלא מבוססות על קוד מחשב, אלא על ניצול תכונות פסיכולוגיות אנושיות במטרה להערים על המשתמשים למסור מידע רגיש.

בהקשר זה, יוצר ChatGPT בעיה כפולה. אם בעבר לא הייתה אפשרות אמיתית להורות למחשב ליצור הונאות משכנעות, הרי שכיום לא רק שהטכנולוגיה קיימת, היא גם נגישה לכולם, לא יקרה, ואפילו מוצעת ללא תשלום.

נוסף על כך, במרוצת השנים למדו המשתמשים לזהות ניסיונות הונאה לפי שגיאות דקדוק וכתיב מחשידות במייל או בהודעות. ברגע שכבר אי אפשר לזהות ניסיונות הונאה לפי שגיאות כתיב ודקדוק בסיסיות שמלמדות שההודעה נכתבה על ידי מישהו שאינו שולט בשפה, נשאלת השאלה כיצד להתגונן מפני הדור החדש של מתקפות ההנדסה החברתית האלו.

בצילום המסך מימין מוצגת דוגמה למתקפת דיוג שהופצה לאחרונה במייל. זו מתקפה לא מתוחכמת במיוחד, ונלווה לה הסבר קצר ולא מאוד ברור. ביקשתי מ־ChatGPT לכתוב טקסט דומה רק מפורט יותר והתוצאה מוצגת בצילום המסך שמשמאל.

 

 

בדוגמה הזאת לא טרחתי להוסיף להודעה לוגו או להבליט את לחצן ההנעה לפעולה, אבל אלו פעולות טכניות פשוטות ושוליות לעומת היכולת לכתוב הודעה משכנעת באנגלית, ללא שגיאות. למעשה, אפשר לבקש מ-ChatGPT לכתוב קוד HTML לעיצוב תוכן ההודעה, כך שלא צריך לדעת שפת תכנות כלשהי אפילו בשביל זה.

בעיניי, פירושו של דבר הוא שרוב משתמשי המחשב כבר לא יצליחו להבדיל בין הודעה אמיתית למתחזה. נכון לכתיבת שורות אלו, הטכנולוגיה זמינה רק באנגלית, אבל זאת רק שאלה של זמן עד שתהיה זמינה גם בשפות נוספות.

היכולת לכתוב ברהיטות בכל שפה (כולל שפות תכנות) נהפכה למציאות ומציבה בפנינו אתגר לא מבוטל. היא מחייבת אותנו לבחון מחדש את ההנחיות שאנחנו נותנים למשתמשים, ולבנות אמצעים טכנולוגיים מתאימים לזיהוי ההודעות האלו וחסימתן לפני שהן נוחתות בתיבת המייל או ההודעות של המשתמשים.

החדשות הטובות הן שמחשבים טובים מאוד בזיהוי תוכן כזה וחסימתו. כל ניסיון הונאה נשען על הנעה לפעולה כגון בקשה להתקשר למספר טלפון, להשיב להודעה, ללחוץ על קישור או לפתוח קובץ מצורף. מכיוון שאי אפשר לוותר על ההנעה לפעולה הזאת, נוכל להשתמש בה כאמצעי לזיהוי ניסיונות הונאה. כמו כן נוכל לאמן בינה מלאכותית אחרת לזהות טקסט שנכתב על ידי ChatGPT ולהציג למשתמשים אזהרה, או פשוט לחסום הודעות כאלו.

על אף מיטב המאמצים, לא נצליח לחסום לגמרי את ההודעות האלו, ושיעור קטן מהן ימצא את דרכן לתיבת המייל או ההודעות של המשתמשים. עלינו להיערך לכך. תמיד כדאי להשתמש בכמה שכבות הגנה. בעידן שבו פחתה יכולתו של המשתמש הממוצע להבדיל בין הודעה אמיתית למתחזה, השימוש בחומת אש ובאמצעים לזיהוי איומים בערוצי התקשורת השונים וסיכולם, נעשה חיוני יותר מאי פעם.

המשתמשים יצטרכו ללמוד לשנות גישה, ובמקום לחפש שגיאות כתיב ודקדוק מחשידות, יידרשו לנסות לאמת את הבקשה לפני ביצוע פעולה כלשהי שמעורב בה מידע רגיש. התבקשת לבצע פעולה בחשבון הבנק? להזין סיסמה או לספק מידע רגיש? לפני ביצוע הפעולה מומלץ להתקשר לאדם או לגורם שפנה אליך, ולוודא שלא מדובר בהונאה.

ככל שהבינה המלאכותית תמשיך להשתפר, כך יהיה קשה יותר להבדיל בין הודעה אמיתית להודעה מתחזה. אנחנו צריכים לבנות מערכות שיהיו גמישות ויעילות מספיק כדי לזהות ולחסום את ההודעות האלו, ובד בבד להעלות את המודעות בקרב משתמשים וללמד אותם לנקוט פעולות נוספות לפני שהם מגיבים לבקשה למסירת מידע רגיש.

* צ'סטר וישנייבסקי - מנהל טכנולוגיות ראשי בתחום המחקר היישומי בסופוס (Sophos)

 

 

תגובות
הוספת תגובה
הוספת תגובה
 
כותרת
תוכן