Negli ultimi mesi, le nuove tecnologie di intelligenza artificiale, quali ChatGPT e Bard, hanno rivoluzionato moltissime attività quotidiane. Tra queste, anche quelle relative alla sicurezza informatica: in alcuni casi con conseguenze già evidenti, in altri con effetti ancora tutti da scoprire.
Ed è proprio per indagare su questi effetti che si è svolto il panel event “How ChatGPT-like AIs will affect cybersecurity” organizzato dall’associazione studentesca dell’università Bocconi B.Cyber, a cui hanno partecipato, in qualità di relatori (rigorosamente in ordine alfabetico): Mark Carman, professore di Intelligenza Artificiale presso il Politecnico di Milano, Monica Scannapieco, direttore della divisione “Programmi di Ricerca e Awareness” presso l’Agenzia per la Cybersicurezza Nazionale, Maria Haddad, ICT & Cyber Risk presso UniCredit, Francesco Paolo Patti, professore di Diritto Privato presso l’Università Bocconi, Domenico Raguseo, head of cybersecurity presso Exprivia, e Stefano Zanero, professore di Sicurezza Informatica presso il Politecnico di Milano.
Superfici di attacco dell’intelligenza artificiale: principali minacce e come mitigare i rischi
Indice degli argomenti
Intelligenza artificiale generativa e cyber security
L’intelligenza artificiale generativa ha una natura innovativa e al contempo paradossale: sebbene stia rivoluzionando il mondo, allo stesso tempo non cambia nulla. Il professor Carman ha approfondito gli aspetti tecnici, mettendo in luce l’enorme scala di questi modelli AI.
Questi modelli massicci richiedono oltre 800 GB di dati solo per essere memorizzati. Per addestrare GPT-3 sono stati impiegati 500 miliardi di token di testo, con un costo approssimativo di 5 milioni di dollari.
Come ha introdotto la dott.ssa Scannapieco, i modelli di intelligenza artificiale Generative Pre-trained Transformer (GPT), sui quali si basa ChatGPT possono essere usati anche per scopi malevoli.
Ad esempio, nel 2020, la società statunitense Honest AI, utilizzando il modello GPT-3, dal quale deriva anche la prima versione di ChatGPT rilasciata pubblicamente, ha creato un prototipo che permetteva, fornendo i dati richiesti, di creare Synthetic Personas, ovvero delle persone fittizie con un profilo social completo, in grado di condurre conversazioni coerenti con quanto già comunicato.
Strumenti simili permettono la creazione di massicce campagne malevole a basso costo.
In effetti, è da sottolineare l’interconnessione tra immensi quantitativi di testo, immagini e video e la realtà stessa, in quanto le implicazioni di ciò sulla sicurezza informatica sono considerevoli, in particolare nell’ambito delle campagne politiche sui social media.
Il professor Zanero ha evidenziato l’enorme impatto degli attacchi di ingegneria sociale, sottolineando che la maggior parte di questi attacchi è difficile da eseguire su larga scala. Tuttavia, con l’avvento di ChatGPT, tali attacchi potrebbero potenzialmente essere realizzati in modo più efficiente. Il professor Zanero ha anche evidenziato come questi modelli possano essere facilmente utilizzati nel contesto del reverse engineering.
I maggiori rischi per le organizzazioni
Ma quali sono i maggiori rischi per le organizzazioni? Sicuramente, come spiegato dalla dott.ssa Haddad, le risorse principali da proteggere sono i dati e la reputazione dell’azienda.
In effetti, le informazioni prodotte dal chatbot non sono sempre accurate, e potrebbero portare a risultati errati.
Inoltre, non va dimenticato che queste tecnologie sono prodotti di aziende terze, e il loro uso potrebbe essere considerato una violazione di accordi di confidenzialità.
Ultimo fattore di rischio da non ignorare è la possibilità di trovare vulnerabilità all’interno di ChatGPT o simili, che porterebbe a conseguenze disastrose.
Il problema delle responsabilità dell’intelligenza artificiale
Chi è responsabile se ChatGPT viola i diritti altrui o viene usato per scopi illeciti?
Dal punto di vista legale, secondo il professor Patti, non si può attribuire una personalità giuridica a ChatGPT, in quanto è uno strumento e non un soggetto autonomo.
Il problema della responsabilità è aperto e complesso: è riconducibile a OpenAI, la società proprietaria del sistema ChatGPT, o chi effettivamente ne fa uso illegale? La risposta dipende dal caso concreto.
Il professor Patti ha concluso sottolineando le sfide e le opportunità che ChatGPT rappresenta per il diritto e per la società. Si tratta di una tecnologia che può essere usata per scopi positivi o negativi, a seconda dell’etica e della moralità di chi la usa.
È necessario un approccio critico e consapevole da parte degli utenti e dei legislatori, per garantire il rispetto dei diritti fondamentali e dei principi democratici.
Influenza dell’intelligenza artificiale sulla cyber security
Il dott. Domenico Raguseo ha infine parlato dell’innovazione digitale e della sua influenza sulla cyber security. Ha mostrato come l’innovazione crei divari e sfide tra attaccanti e difensori, e come questi ultimi debbano adattarsi alle nuove tecnologie per non soccombere.
“Non deve sorprendere pertanto che ogni innovazione nel digitale porti con sé la domanda se l’attaccante o il difensore ne è più favorito da tale innovazione. Infatti, che siano attaccanti o difensori, gli strumenti utilizzati sono sempre gli stessi. […] ChatGPT non fa differenza con la peculiarità che questa volta ed in questo momento, forse ad essere maggiormente avvantaggiati dall’innovazione sono coloro che si difendono”, ha sottolineato Raguseo.
“Chi attacca non ha regole”, è ancora il commento di Raguseo, “detta i tempi e seleziona in anticipo le competenze necessarie. Chi si difende, l’attacco lo subisce e avere qualcuno che lo supporti (magari fornendo informazioni sul tipo di malware, gang e via dicendo) è di aiuto. Ovviamente quello dell’analisi dell’incidente è solo uno dei casi d’uso. Anche nella scrittura del codice, chi si difende può trovare in ChatGPT un valido aiuto, superiore a quello che l’attaccante potrebbe trovare nel farsi scrivere pezzi di codice che integrati possano creare un malware. Ovviamente non faccio previsioni per il futuro”.