Lo scorso 27 marzo, l’Ufficio Europeo di Polizia (Europol) ha pubblicato un rapporto, denominato ChatGPT. The impact of Large Language Models on Law Enforcement, relativo al potenziale abuso di ChatGPT da parte di criminali informatici.
In particolare, è stato evidenziato dagli analisti come sempre più organizzazioni criminali utilizzino la chatbot per condurre attacchi di social engineering, frodi, campagne di disinformazione e altre attività di natura informatica, come lo sviluppo di codici dannosi.
Europol Innovation Lab ha quindi organizzato una serie di workshop dedicati all’impatto di ChatGPT e alle possibilità di abuso di tale strumento, tramite i quali sono stati raccolti e analizzati numerosi casi d’uso pratici atti a fornire un’idea delle casistiche che Europol potrebbe trovarsi a dover fronteggiare.
Tra gli obiettivi principali promossi da Europol vi è, altresì, quello di sensibilizzare l’opinione pubblica sull’impatto del bot e, più in generale, degli strumenti basati sull’intelligenza artificiale, nonché fornire raccomandazioni riguardo alle possibili azioni che possono essere messe in atto per fronteggiare i potenziali rischi derivanti da tali strumentazioni.
ChatGPT in corsa per tornare a maggio, ecco il dettaglio delle richieste dal Garante
Indice degli argomenti
I casi d’uso illegali delle chatbot
Recentemente è stata rilasciata la nuova versione del bot di OpenAI, ovvero GPT-4. Questa sarebbe stata concepita non solo per migliorare le funzionalità di ChatGPT, ma anche per rendere meno probabile l’accadimento di fatti potenzialmente dannosi.
Tuttavia, secondo quanto emerso dal rapporto redatto da Europol, anche nella versione più avanzata del modello continuerebbero a sussistere una serie di “casi d’uso illegali”.
Gli analisti di Europol hanno dedicato a questi ultimi una specifica sezione all’interno del rapporto, nella quale viene sottolineato come l’abilità di ChatGPT nel fornire all’utente informazioni di vario genere in risposta a determinate richieste possa, talvolta, accelerare in modo significativo la ricerca di un potenziale criminale che intende svolgere attività malevole.
A tal proposito, il report elenca alcune aree generalmente d’interesse per i criminali, ovvero quella del terrorismo, del cybercrime e dell’abuso sessuale di minori. I casi d’uso emersi durante i vari workshop mirano a fornire un’idea di quanto uno strumento come ChatGPT, nelle mani di individui malintenzionati, possa costituire una minaccia su larga scala.
Uso criminale di ChatGPT per phishing e frodi online
Sempre secondo quanto affermato nel report di Europol, la capacità di ChatGPT di redigere testi autentici sulla base di una richiesta dell’utente, lo renderebbe un valido strumento per operazioni di phishing, in quanto ridurrebbe notevolmente la possibilità di errori grammaticali e ortografici nelle e-mail fraudolente che vengono inviate.
Inoltre, grazie al bot il contesto dell’e-mail di phishing può essere facilmente adattato a seconda delle esigenze dell’attore della minaccia.
Per le medesime ragioni, anche le frodi online risultano facilmente attuabili con l’utilizzo di ChatGPT. Risulterebbe, infatti, piuttosto semplice generare un falso impegno sui social media, ad esempio per promuovere un’offerta di investimento fraudolenta.
La capacità di individuare e riprodurre modelli linguistici non solo facilita il phishing e le frodi online, ma può anche essere utilizzata per riprodurre lo stile di linguaggio di individui o gruppi specifici, al fine di ingannare potenziali vittime e indurle a riporre la loro fiducia nelle mani di attori criminali. Il bot potrebbe, quindi, essere utilizzato per raccogliere informazioni che possono facilitare le attività terroristiche, come il finanziamento del terrorismo o per finalità di propaganda e disinformazione.
L’uso di ChatGPT per scrivere codici malevoli
Un’altra area che può essere soggetta ad abusi è quella informatica: oltre a generare un linguaggio simile a quello umano, ChatGPT è infatti in grado di produrre codice in diversi linguaggi di programmazione.
Ciò consentirebbe anche a chi è privo di conoscenze tecnico-informatiche di sfruttare un vettore di attacco sul sistema della vittima. Poco dopo il rilascio di ChatGPT da parte di OpenAI, nel dicembre del 2022, i ricercatori di Check Point Research avrebbero dimostrato come ChatGPT possa essere utilizzato da malintenzionati per generare malware.
A tal proposito, a parere degli esperti di Europol, le prospettive future non sembrerebbero portare un miglioramento per quanto riguarda le possibili applicazioni di ChatGPT tra i criminali informatici.
Nel rapporto si legge, infatti, che la capacità di tali modelli generativi di assistere lo sviluppo del codice è destinata a migliorare nel tempo.
GPT-4, ad esempio, avrebbe già visto apportati miglioramenti rispetto alle versioni precedenti, che le consentirebbero di comprendere pienamente il contesto del codice, permettendo ad un criminale informatico con scarse competenze tecniche di raggiungere facilmente i propri obiettivi.
Allo stesso tempo, un utente più avanzato potrebbe sfruttare tali migliorie per affinare ulteriormente o automatizzare determinati processi.
Le raccomandazioni di Europol per mitigare i rischi
In conclusione del report, gli analisti di Europol pongono una serie di raccomandazioni, dirette sia alle forze dell’ordine che alla comunità in generale, al fine di porre le basi per un’adeguata gestione delle conseguenze e degli effetti, positivi e negativi, portati da tale tecnologia.
In primo luogo, considerato il potenziale danno che può derivare dall’uso malevolo di strumenti come ChatGPT, risulta essere di estrema importanza sensibilizzare l’opinione pubblica sull’argomento, di modo da garantire che eventuali vulnerabilità del sistema vengano individuate ed eliminate il più rapidamente possibile.
In secondo luogo, le forze dell’ordine dovranno comprendere l’impatto che gli strumenti frutto dell’intelligenza artificiale hanno in tutte le aree di criminalità potenzialmente interessate, per poter essere in grado di indagare, prevedere, prevenire in maniera più efficace diverse azioni criminali.
Le forze dell’ordine dovrebbero, altresì, iniziare a sviluppare le competenze necessarie per fronteggiare tecnologie come ChatGPT. Ciò significherebbe comprendere a fondo questi sistemi, di modo da implementare nuove competenze e raffinare quelle esistenti, in linea con gli obiettivi che si intende raggiungere ed essendo in grado di valutare i contenuti prodotti da modelli generativi di IA in termini di accuratezza e potenziali distorsioni.
Inoltre, le forze dell’ordine dovrebbero avviare percorsi di formazione adeguati, basati su format specifici all’esigenza.
Per quanto concerne, invece, il settore tecnologico, Europol ritiene che questo dovrebbe investire maggiormente in meccanismi di sicurezza che permettano di rispondere adeguatamente a tali minacce.
I casi d’uso descritti da Europol nel report in questione forniscono una prima lettura relativa al vasto potenziale che strumenti con ChatGPT detengono ad oggi e che potrebbero acquisire in futuro. Sebbene alcuni risultati siano risultati essere ancora piuttosto elementari, gli analisti ritengono che le future modifiche ai modelli non potranno che apportare migliorie a ciò che già esiste. Questo pone le forze dell’ordine, ma anche i cittadini comuni, di fronte a nuove sfide.
Come affermato all’interno del rapporto: “con il progredire della tecnologia e la disponibilità di nuovi modelli, per le forze dell’ordine diventerà sempre più importante saper anticipare e prevenire gli abusi e garantire che i potenziali vantaggi possano essere sfruttati”.
