Популярные нейросети могут использоваться для взлома сайтов и воровства данных. А неосторожные пользователи зачастую сами рассказывают чат–ботам ценную информацию.
Нейросети и языковые модели вроде нашумевшей в последнее время ChatGPT способны на многое. В том числе писать код и решать небольшие задачи, которые служат подспорьем для разработчиков и программистов. Но такие функции можно использовать и во вред.
"Напиши мне вирус"
Юрий Ряднина, специалист группы исследования безопасности банковских систем Positive Technologies, подтверждает, что теоретически с помощью нейросети может быть написан вредоносный софт. Однако при этом составление запросов потребует определённых навыков. Если напрямую попросить ChatGPT написать компьютерный вирус, то она откажется. Например, так она ответила самому эксперту на подобный запрос: "Я не могу написать компьютерный вирус, так как это незаконно и неправильно. Компьютерные вирусы — это вредоносные программы, которые наносят ущерб компьютерным системам и нарушают безопасность данных пользователей".
Тем не менее при помощи специально сформированных запросов написание вредоносов всё–таки возможно, замечает Ряднина. Кроме того, нейросеть способна, например, предложить списки файлов, которые могут быть использованы для взлома сайтов.
Однако и здесь всё несколько сложнее, чем кажется. Нужно разделять непосредственно нейросеть, генерирующую текст, и поисковый сервис, который может быть построен на основе такой нейросети, подчёркивает Владислав Тушканов, ведущий исследователь данных в "Лаборатории Касперского".
“
"Сама нейросеть действительно может создавать по запросу код, включая и потенциально вредоносный. Но гарантировать его корректность или даже работоспособность никто не может. А искать ошибки в коде бывает зачастую ещё сложнее, чем его писать. Поэтому без вмешательства специалиста такой код, скорее всего, практической пользы злоумышленникам не принесёт", — поясняет Тушканов.
Кроме того, вредоносный код нужно ещё и собрать в приложение, доставить на устройство жертвы, а потом попытаться обойти установленное там защитное решение. Что касается возможности искать какие–либо файлы, вредоносные или другие, то сервис, генерирующий текст, выполнять функции поиска не может. А если чат–бот встроен в поисковый сервис, то его ответы будут базироваться на той же поисковой выдаче, что видят пользователи при обычном поиске.
Берут на вооружение
Зато подобные инструменты могут стать хорошим подспорьем для специалистов в кибербезопасности.
"Например, нейросеть может использоваться для анализа больших объёмов текстовых данных, таких как журналы системного администрирования, баг–репорты и другая документация, связанная с безопасностью. Анализ текстовых данных может помочь выявить уязвимости в системах безопасности, предоставить информацию о новых методах атак и узнать, какие меры были приняты для защиты от этих угроз", — говорит Ряднина.
По его словам, уже сейчас с помощью ChatGPT специалисты по информационной безопасности могут получать значения для обхода регулярных выражений, исследовать код на предмет уязвимостей, генерировать идеи для взлома и т. д. Список применений ничем не ограничен и зависит исключительно от фантазии человека.
Также в будущем языковая модель может помочь разрабатывать ещё более продвинутые инструменты. Такие как системы обнаружения вторжений, которые могут определять аномальное поведение пользователей и обнаруживать неизвестные уязвимости в системах безопасности.
Владислав Тушканов добавляет, что специалисты уже изучают, можно ли использовать в сфере безопасности большие языковые модели, обученные на естественных языках и языках программирования. "Потенциал их возможного применения довольно широк: от поиска угроз до реагирования на инциденты. При этом компании, занимающиеся информационной безопасностью, будут изучать, какие возможности дают новые инструменты злоумышленникам и каким образом они их могут попытаться эксплуатировать", — прогнозирует он.
Откровения с роботом
Кроме того, важно помнить, что сервисы, которые дают доступ к нейросетям, могут собирать данные пользователей. Здесь не лишним будет помнить об осторожности.
“
"Практически любые сервисы в интернете собирают данные. Как правило, об этом разработчики предупреждают в пользовательском соглашении и в политике конфиденциальности сервиса. Там описываются цели сбора данных и другие параметры в соответствии с действующим законодательством. При этом ещё в 60–х годах прошлого века было подмечено, что люди в разговоре с роботами склонны быть излишне откровенны. Поэтому разработчики той же ChatGPT сразу при входе на сайт предупреждают пользователей, что диалоги потенциально могут просматривать живые люди", — рассказывает Тушканов.
К чат–ботам в интернете стоит относиться как к любым другим незнакомцам: не вести с ними излишне откровенных разговоров и не передавать личные данные.
Хотя разработчикам нейросетей такие данные необходимы. Их собирают для улучшения качества генерируемых ответов, продолжает, в свою очередь, Юрий Ряднина.
"Разработчики нейросетей могут собирать больше данных, чем нужно только для обучения модели. В случае, если они не защищают данные пользователей, это может привести к утечкам личной информации. Если вы планируете использовать подобные сервисы, рекомендуется тщательно читать их политику конфиденциальности и условия использования. Чтобы понимать, какие данные могут быть собраны и как они могут быть использованы. Кроме того, вы можете использовать дополнительные меры безопасности, такие как использование виртуальных частных сетей (VPN) или анонимных браузеров. При этом в России ChatGPT и так доступна только с помощью VPN", — предупреждает он.
Достоверных сведений о том, что ChatGPT или Bard собирают информацию без разрешения пользователей, на текущий момент нет. Поэтому не стоит прекращать пользоваться такими сервисами, считает эксперт. Просто нужно быть внимательнее и стараться не отправлять какие–то важные данные в чат с нейросетями. Нейросеть ChatGPT и сама об этом предупредила в беседе с Юрием Рядниной:
“
"Моя задача — помочь с ответами на ваши вопросы. Я не собираю личную информацию и не могу получать данные от вас, если вы не отправляете их через платформу, которую я использую, например через чат–бота на сайте. Однако если вы планируете отправить мне данные через эту платформу, рекомендуется не отправлять конфиденциальную информацию. Такую как пароли, социальные страховые номера, кредитные карты или другие личные данные, которые могут быть использованы для кражи личности или других мошеннических целей".
