Due notizie diverse si sovrappongono. La prima è stata lanciata dal New York Times e narra come le grandi aziende stanno ricorrendo alle AI generative per ottimizzare i flussi e creare efficienza. La seconda è un report curato dall’azienda di cyber security Acronis nel quale si evidenzia che, grazie alle AI, le minacce (soprattutto phishing) sono aumentate in modo esponenziale.
Il quid è nell’essenza delle due notizie: hanno tutti ragione. Le AI sono al servizio di chi ne fa uso e i vincoli etici sono materia elastica. C’è modo di porre delle remore? La risposta, apparentemente, è “non ancora”.
Andiamo con ordine e circoscriviamo i fatti con il supporto di Giampaolo Dedola, Senior Security Researcher, Global Research and Analysis Team (GReAT) Kaspersky.
Indice degli argomenti
Le AI nelle grandi aziende
Il parterre è da gran galà: fanno uso di AI per migliorare l’efficienza sul posto di lavoro giganti del calibro di Amazon, Box, Microsoft, Panasonic, Oracle, Salesforce e molti altri ancora.
L’articolo del New York Times dà voce a Mark Austin, vicepresidente della divisione Data science della Telco texana AT&T. Austin sostiene che alcuni sviluppatori dell’azienda hanno fatto ricorso a ChatGPT per correggere e affinare il codice scritto e si chiede quanto sia sicuro per le aziende fare leva su uno strumento pubblico e aperto a tutti. Sempre secondo la sua voce, grazie a ChatGPT la produttività degli sviluppatori è aumentata tra il 20% e il 50%.
Il dubbio di Austin assume un senso più specifico se lo si pone in modo esteso: vale la pena esporre a rischi sicurezza un’azienda sapendo che tale esposizione coincide con un netto aumento della produttività? La risposta è nella domanda, va considerata l’entità dei rischi perché se questi compromettessero il business, verrebbe meno anche l’efficienza.
C’è un’altra questione che solleviamo pure non avendo a che fare strettamente con la sicurezza: fare uso di AI generative come ChatGPT significa affidare al medesimo strumento il compito di migliorare o completare del codice con il rischio di standardizzare il prodotto finito con danni alla competitività. Questo può valere anche per i flussi e i processi aziendali. Non è un rischio da sottovalutare.
Il contributo delle AI al phishing e le possibilità di difesa
Il report redatto da Acronis è lapidario: l’impiego delle AI è un boost tanto per il numero di offensive quanto per la loro efficacia. Citiamo i numeri principali solo a titolo di paragone, ma l’entità delle minacce non è circoscrivibile soltanto alle cifre. In sintesi:
- il numero di attacchi phishing via email, nei primi sei mesi del 2023, è aumentato del 464% rispetto allo stesso periodo dell’anno precedente;
- nel medesimo periodo il numero di attacchi subito dalle aziende monitorate è aumentato in media del 24%;
- il numero di link che conducono a contenuti malevoli indirizzati per email ai dispositivi monitorati è aumentato del 15%.
Gli hacker usano le AI generative per creare campagne phishing sempre più mirate. E-mail con testi redatti in modo sempre più inappuntabile dal profilo grammaticale e stilistico, riducendo quindi quella traccia di riconoscibilità delle email potenzialmente malevole, classicamente scritte in modo claudicante perché tradotte in modo approssimativo.
Un classico caso che dimostra come le AI siano capaci di apprendere: “Gli attacchi di phishing sono una tipologia di minaccia che fa ampio uso del social engineering per indurre le vittime a inserire dati sensibili su risorse web non affidabili. Sin dalla comparsa dei primi modelli linguistici basati sull’uso del machine learning per l’autoapprendimento e la generazione di testi come GPT e poi con la sua evoluzione GPT-3.5, su cui si basa ChatGPT, sono state osservate dai ricercatori le possibili implicazioni in campo offensivo tra cui gli attacchi di phishing. Gli attaccanti hanno, infatti, la possibilità di utilizzare questi strumenti per generare in automatico testi sintatticamente e grammaticalmente corretti, che possono poi essere utilizzati nei vettori di distribuzione, solitamente le e-mail. I testi vengono realizzati secondo determinate keyword fornite come input, che possono essere adattate a specifici target o singole vittime, rendendo la loro efficacia maggiore ed il loro rilevamento più difficoltoso”, spiega Giampaolo Dedola.
ChatGPT e le altre intelligenze artificiali stanno influenzando la cyber security: ecco come
Una domanda resta però in sospeso, e riguarda le reali possibilità di difesa: “Fortunatamente, il rilevamento di elementi specifici all’interno dei messaggi di phishing è solo uno dei possibili metodi di difesa. Altre tecnologie sono basate sull’analisi di altre informazioni come, ad esempio, l’analisi della risorsa internet che ospita realmente la pagina di phishing o altri elementi negli header dei messaggi. Per questo motivo, le soluzioni di sicurezza oggi presenti sul mercato possono essere considerate ancora valide e in grado di offrire la protezione contro queste minacce. Già da tempo, i ricercatori stanno lavorando per creare sistemi in grado di rilevare testi generati in automatico da questa tipologia di modelli ed è probabile che, la loro integrazione nelle soluzioni di sicurezza, sarà sempre più comune”, conclude Dedola.
