ChatGPT, il chatbot di OpenAI che ha conquistato il mondo della tecnologia, è diventato ancora più intelligente con il rilascio della versione GPT-4. Questa tecnologia risponde alle domande e scambia informazioni in modo quasi umano: il contenuto e il flusso della conversazione fanno pensare a una svolta tecnologica, molto simile a quella portata da Internet all’inizio degli anni Novanta.
Con ChatGPT-4, la velocità con cui l’intelligenza artificiale si sta evolvendo ha spinto gli addetti ai lavori a chiedersi quale sarà l’impatto sulla sicurezza informatica.
La certezza, al momento, è che con l’evoluzione dell’intelligenza artificiale e di strumenti come ChatGPT le implicazioni per la sicurezza informatica sono aumentate.
La privacy di ChatGpt interessa tutta l’Europa, interviene l’EDPB: ecco perché
Indice degli argomenti
Dalle prime forme di IA a ChatGPT
La storia dell’Intelligenza Artificiale (IA) è vecchia quanto quella dell’informatica, e forse di più.
Nel suo articolo “Computing Machinery and Intelligence”, Alan Turing formulò il cosiddetto Test di Turing. L’intento era quello di stabilire il limite per capire se un computer stesse davvero “pensando” come un essere umano e a far sì che una persona fosse in grado di rilevare se l’interlocutore con cui sta interagendo tramite una conversazione di testo è un altro essere umano o una macchina. Se l’interrogatore umano non riesce a capire se l’interlocutore è un computer, il computer vince. Finora nessun computer è stato in grado di superare il Test di Turing.
I ricercatori di IA hanno lavorato per anni e anni verso un algoritmo/sistema/modello generico e universale in grado di imparare qualsiasi cosa e di imitare il flusso di apprendimento umano. Nonostante questo obiettivo, la flessibilità dell’apprendimento di un bambino di tre anni risulta ancora inavvicinabile per i computer.
Questo “fallimento” dell’IA ha portato ad una fase di stallo nella seconda metà degli anni Settanta. Da allora, dopo una perdita di popolarità nell’ambito della ricerca e di finanziamenti tra gli anni ‘80 e i primi anni ‘90, molto è stato realizzato dalle cosiddette “IA ristrette” che mirano a risolvere problemi specifici.
Oggi, reti neurali di tutti i tipi – Deep e non – vengono utilizzate per molte attività, sono facilmente disponibili a tutti, spesso accelerate con hardware dedicato e considerate alla stregua di altri strumenti di ingegneria del software per risolvere problemi specifici.
L’IA ristretta è interessante, utile e continua a progredire senza sosta. Ma l’etichetta “stretta” serve a ricordare che il superamento del Test di Turing non è più un obiettivo.
Forse in futuro un computer supererà il Test di Turing e a quel punto potremo chiederci se il computer stia davvero pensando o meno, ma questa è un’altra storia.
Il motivo è da ricercare nei progressi compiuti negli ultimi anni da quella che viene chiamata Intelligenza Artificiale Generale, che fondamentalmente torna a risolvere il singolo grande problema dell’apprendimento (facendo leva al tempo stesso anche sui traguardi raggiunti dall’IA ristretta) con sistemi in grado di richiedere meno tempo di ingegnerizzazione quando vengono adattati a un problema e a un dominio specifici.
Gli impatti di ChatGPT
ChatGPT ha decisamente smosso le acque da quando è stato introdotto nel novembre 2022.
Come sappiamo, si tratta di un chatbot basato su Large Language Model (LLM) a cui è possibile porre una domanda a cui ChatGPT risponde in forma scritta. Il testo in input fornisce al chatbot un contesto all’interno del quale utilizzare un corpus specifico di contenuti e probabilità per determinare quali parole si allineano meglio, formando nuove frasi. Genera un nuovo testo unico e non mostra il contenuto di partenza. Tutto questo è disponibile tramite un’applicazione web e API.
Tutti coloro che provano ChatGPT sono impressionati dalla qualità delle risposte, e può essere facile pensare che possa superare il Test di Turing. Ma io direi che non è così. Come i ricercatori di OpenAI sono pronti ad ammettere, è tutt’altro che perfetto. Non di rado le risposte sono sbagliate, incoerenti o imprecise. Tuttavia, il bot funziona “abbastanza bene” da far pensare che stia dicendo la verità.
Dobbiamo comunque ricordare che si tratta di un chatbot. È possibile porre una domanda e ChatGPT risponderà. Sebbene la sua applicazione sembri piuttosto ampia, ha ancora un obiettivo piuttosto ristretto: partire da un contesto e produrre contenuti che abbiano senso per quel determinato contesto. Non è in grado di analizzare correttamente i dati (strutturati, non strutturati o immagini), di addestrare una rete neurale o di svolgere la maggior parte dei compiti di un essere umano.
Non è il terrificante Skynet (dai film di Terminator), né uno dei sistemi di “IA” completamente autonomi presenti nelle storie di fantascienza da sempre. Ripetiamolo ancora una volta: i risultati ottenuti da questo sistema sono sorprendenti, soprattutto per una versione così immatura, ma è importante non lasciarsi trasportare dall’entusiasmo.
In che modo ChatGPT influirà sulla sicurezza informatica
Tutta la tecnologia può essere usata per il bene o per il male. E ChatGPT non fa eccezione. Sul web si è parlato molto di come possa essere utilizzato in modo efficace.
In fin dei conti, lo strumento ha acquisito una quantità considerevole di conoscenze e, con le limitazioni sottolineate in precedenza, può aiutare i malintenzionati ad automatizzare, velocizzare e migliorare le proprie iniziative.
Ecco una sintesi degli utilizzi malevoli di ChatGPT che abbiamo trovato online:
- Sebbene ChatGPT disponga di filtri di contenuto per evitare usi impropri, ci sono molti esempi online che mostrano come, utilizzando la sua GUI web o l’API programmatica, si possano aggirare i filtri di contenuto per ottenere codice dannoso. La stessa tecnica può essere utilizzata per trovare una vulnerabilità scoperta di recente che consente a un aggressore di iniettare un payload dannoso. Se per un’azione malvagia sono necessarie meno competenze, più persone possono compierla.
- ChatGPT è completamente automatizzato e non richiede alcun intervento umano per generare le risposte, quindi può essere utilizzato in modo programmatico (come parte di un programma informatico) e in parallelo (molte volte allo stesso tempo). Ciò significa che, se utilizzato per attacchi di phishing o spear-phishing più mirati, può essere molto più sofisticato nell’uso dell’ingegneria sociale. Con meno errori linguistici o di traduzione, e automatizzato per un volume maggiore di persone, sarà più facile creare campagne di phishing su larga scala, più sofisticate e molto credibili.
- Oltre alle campagne di spear phishing, che generalmente si riferiscono all’impersonificazione di e-mail basate su testo, ChatGPT può essere utilizzato per campagne “Deep Fake” su larga scala. ChatGPT è stato presentato come chatbot, utilizzando un’interfaccia testuale, ma con fasi aggiuntive in una pipeline di dati, può essere utilizzato per generare output audio e video. Apprendendo l’aspetto o il modo di parlare di una determinata persona attraverso immagini, video o suoni in ingresso, la tecnologia AI può generare un audio credibile della voce di una persona e/o immagini animate (si pensi al video Zoom) seguendo un copione che la persona reale non ha mai eseguito. Questi Deep Fake possono essere utilizzati per frodi, furti, inganni, impersonificazioni, campagne diffamatorie, attacchi al marchio, e molto atro ancora.
- Se si può indirizzare o modificare il contenuto utilizzato da ChatGPT per influenzare il modo in cui apprende il contesto (cosa che non è ancora possibile nelle demo pubbliche disponibili oggi), allora diventa possibile la creazione di campagne di disinformazione su larga scala. Ciò potrebbe comportare l’apparizione di tempeste comunicative su Twitter a sostegno di una versione fuorviante della realtà o degli eventi, o altre simili false narrazioni.
- ChatGPT o tecnologie simili sono così potenti che probabilmente saranno integrate in molte tecnologie e prodotti futuri che probabilmente utilizzeremo ogni giorno, il che apre a significative vulnerabilità (ricordate SolarWinds?). Una volta che sarà parte della nostra vita, ChatGPT può essere influenzata da “allucinazioni”, apprendimenti o conclusioni errate derivanti dall’elaborazione dei contenuti. Queste allucinazioni possono verificarsi per caso (come quando un’auto a guida autonoma non “vede” un oggetto davanti a sé) o con uno scopo malevolo.
Con strumenti così potenti a disposizione, dovrebbe essere chiaro che tenere il passo di avversari capaci di sfruttare appieno ChatGPT sarà il nuovo capitolo del gioco del gatto e del topo, con la consapevolezza che i cattivi hanno appena ricevuto un significativo upgrade.
D’altra parte, la tecnologia ChatGPT può anche essere utilizzata in positivo, per far progredire la cyber security. Ecco alcuni esempi:
- Poiché sappiamo che ChatGPT sarà uno strumento per gli attori delle minacce, ci prepariamo a far sì che faccia parte dell’arsenale da cui dobbiamo difenderci. Possiamo incorporare gli usi maligni sopra descritti nella batteria di test che i prodotti e le pratiche di sicurezza devono superare. Ad esempio:
- i fornitori possono facilmente individuare e dare priorità all’eliminazione delle vulnerabilità nel loro software in modo più rapido con ChatGPT;
- ChatGPT può essere integrato nella formazione anti-phishing di un’azienda per aumentare la consapevolezza dei dipendenti e la solidità della sicurezza dei processi.
- ChatGPT può assistere gli analisti della sicurezza nello studio e nella segnalazione delle minacce, il che porterà a una più rapida scoperta e condivisione delle informazioni sulle minacce e, infine, a una più rapida correzione dell’esposizione a tali minacce.
- Man mano che la tecnologia ChatGPT prende piede nel mondo dello sviluppo del software, può essere formata con contenuti più sicuri. Gli sviluppatori che usano questo tipo di tecnologia riutilizzeranno software con sempre meno vulnerabilità, una manutenzione più semplice e linee guida più sicure, portando a implementazioni più solide di secure-by-design.
- L’uso di questa tecnologia da parte di red team e blue team (parzialmente o completamente automatizzato con ChatGPT) può essere portato al livello successivo quando si tratta di test di penetrazione della cybersecurity, scansione delle vulnerabilità, programmi di bug bounty, scoperta/analisi della superficie di attacco e molto altro ancora.
ChatGPT crea anche un’opportunità per i fornitori di sicurezza informatica. La carenza di professionisti è una sfida che le aziende di tutto il mondo devono affrontare ogni giorno, e probabilmente anche negli anni a venire.
La capacità di affidarsi a strumenti altamente autonomi e intelligenti diventerà una necessità.
Non basterà essere abbastanza bravi: gli strumenti dovranno essere eccezionalmente validi solo per entrare nel campionato.
