چت‌جی‌پی‌تی با چه چالش‌های امنیتی روبه‌رو است؟

چت‌باتی با ویژ‌گی منحصر‌به‌فرد

ویژگی‌های منحصر‌به‌فرد چت‌جی‌پی‌تی به این پلتفرم هوشمند اجازه داده به‌لطف حجم زیادی از داده‌هایی که توسط آن‌ها آموزش دیده، بتواند پاسخ‌های شبیه به انسان‌ها ارائه کند که یکی از دلایل اصلی محبوبیت این چت‌بات نزد کاربران عادی و حتا کارمندان شرکت‌های بزرگ دنیای فناوری اطلاعات است. یکی دیگر از قابلیت‌های شاخص این بات توانایی آن در ثبت و ضبط پیام‌های قبلی کاربر در یک مکالمه و استفاده از آن‌ها برای شکل‌دهی دقیق‌تر به پاسخ‌های بعدی در هنگام گفت‌وگو است. تا به امروز، هیچ برنامه هوش مصنوعی مولد نتوانسته به محبوبیت چت‌جی‌پی‌تی دست پیدا کند. آلتمن، مدیرعامل OpenAI، در تاریخ 5 دسامبر در توییتی اعلام کرد که تنها با گذشت پنج روز از انتشار چت‌بات، یک میلیون کاربر در آن ثبت‌نام کردند، در حالی که با آغاز سال نو میلادی این تعداد به 100 میلیون کاربر فعال ماهانه رسید. 

سرمایه‌گذاری بزرگ مایکروسافت در OpenAI

مایکروسافت اواخر ژانویه خبر از یک قرارداد و سرمایه‌گذاری چند میلیارد دلاری در OpenAI داد. با این‌‌حال، پایگاه خبری سمافور (Semafor)  در گزارشی اعلام کرد ردموندی‌ها در حال مذاکره برای سرمایه‌گذاری ده میلیارد دلاری در این سازمان هستند. در همین ارتباط، مایکروسافت در یک رویداد مطبوعاتی از به‌روزرسانی‌های جدید موتور جست‌وجوی بینگ و مرورگر اج با محوریت چت‌جی‌پی‌تی خبر داد. آلتمن نیز تایید کرد که مایکروسافت برخی از فناوری‌های مدل چت‌جی‌پی‌تی را به مرورگر بینگ وارد کرده است. این در شرایطی است که گوگل در واکنش به این تحول بزرگ از پلتفرم هوش مصنوعی بارد (Bard AI) خود رونمایی کرد و اعلام کرد در هفته‌های آینده بارد را به موتور جست‌وجوی گوگل وارد خواهد کرد. برخی کارشناسان حوزه فناوری بر این باور هستند که چت‌جی‌پی‌تی تهدید مهمی برای آینده گوگل است، زیرا کاربران به‌جای مراجعه به ابزار جست‌وجوی گوگل، پرسش و پاسخ‌های خود را از چت‌بات جی‌پی‌تی دنبال خواهند کرد. 

نواقص و محدودیت‌ها

چت‌جی‌پی‌تی با محدودیت‌هایی همراه است. این ابزار هوش مصنوعی در برخی موارد، پاسخ‌های نادرست یا سطحی می‌دهد. به‌طور مثال، می‌تواند نام‌ها و کتاب‌های تاریخی ساختگی را اختراع کند که وجود ندارند یا توانایی حل برخی مسائل ریاضی را ندارد. ویل ویلیامز، معاون یادگیری ماشین استارت‌آپ Speechmatics، همین ارتباط گفته است: «جنبه‌های باز ابزار‌های هوش مصنوعی مثل شمشیر دو لبه هستند، زیرا از یک سو، سطح بالایی از انعطاف‌پذیری و شیوایی را در گفت‌وگو‌ها دارند، به این معنا که گفت‌وگویی جذاب تقریبا در هر موضوعی با این چت‌بات‌ها امکان‌پذیر است و از سوی دیگر، هیچ‌گاه نمی‌دانید چه زمانی مدل پاسخ‌های واقعی ارائه می‌کند». محدود بودن دانش چت‌جی‌پی‌تی به داده‌های سال 2021 میلادی دومین عیب این چت‌بات است. به اعتقاد بسیاری از کارشناسان حوزه فناوری، هوش مصنوعی مولد هنوز قادر به دستیابی به هوش عمومی نیست. هوش مصنوعی عمومی، فناوری‌ای است که همه شرکت‌های بزرگ به دنبال آن هستند. این فناوری بیشتر به توانایی یک عامل هوشمند برای درک یا یادگیری هر کار فکری و عملی که یک انسان می‌تواند انجام دهد اشاره دارد. با این‌حال، کارشناسان و متخصصان حوزه‌های مختلف هشدار می‌دهند که نباید بیش‌از‌اندازه به ابزار‌های مبتنی بر یادگیری ماشین اعتماد کرد، زیرا این ابزار‌ها به‌گونه‌ای طراحی نشده‌اند که بتوانند مانند انسان هوشمند باشند. ابزار‌های یادگیری ماشین بر مبنای حجم زیادی از کلان‌داده‌ها کار می‌کنند و با تحلیل و یافتن الگوها، محتمل‌ترین پاسخ به یک مسئله را پیدا می‌کنند، اما محتمل‌ترین جواب، همواره به معنای درست‌ترین نیست. 

چت‌جی‌پی‌تی با چه چالش‌های امنیتی روبه‌رو است؟ 

اخبار پیشرفت‌های این چت‌بات، دنیای امنیت سایبری را نگران کرده است، به‌طوری‌که بسیاری از کارشناسان نسبت به بی‌اثر شدن برخی از فناوری‌های امنیتی در آینده هشدار داده‌اند. کارشناسان امنیت سایبری موسسه CyberArk اعلام کرده‌اند که این چت‌بات توانایی ساخت بدافزار را دارد. محققان این شرکت توانسته‌اند از این ابزار برای ساخت کد‌های متفاوت استفاده کنند و دریافته‌اند که شناسایی و مقابله با کد‌های تولیدشده توسط این پلتفرم‌ برای نرم‌افزار‌های ضدبدافزار سخت است. پژوهش‌گران این شرکت، تعدادی کد در اختیار این ابزار قرار دادند و از آن خواستند تا فایل جدیدی را بنویسد و رمزگذاری کند. چت‌جی‌پی‌تی بدون مشکل این‌کار را انجام داد. 

در ژانویه 2023 میلادی، کارشناسان شرکت مک‌آفی گزارشی مبنی بر این‌که برخی از کاربران انجمن‌های جرائم سایبری از این چت‌بات برای ساخت بدافزار استفاده می‌کنند منتشر کردند. آن‌ها مدعی شدند کدهای مخرب نوشته‌شده به زبان پایتون توسط چت‌جی‌پی‌تی ایجاد شده است که شامل فایل‌های بسته آفیس، پی‌دی‌اف و غیره است که در یک پوشه تصادفی کپی شده، آن پوشه‌ فشرده شده و در یک سرور FTP بارگذاری شده است. علاوه بر نوشتن کد‌های مخرب، کارشناسان امنیتی نگران استفاده از چت‌جی‌پی‌تی در زمینه تولید محتوای فیشینگ و حملات مهندسی اجتماعی با هدف سرقت اطلاعات حساس هستند. این بات فرآیند جعل هویت یک سازمان یا فرد را برای مجرمان سایبری ساده می‌کند. در فوریه 2023 میلادی، پژوهشگران شرکت امنیتی WithSecure، آزمایشی در این زمینه انجام دادند. آن‌ها از چت‌جی‌پی‌تی برای تولید ایمیل‌های فیشینگ به دو شیوه متنی و صوتی استفاده کردند و توانستند از طریق مهندسی اجتماعی یکی از اعضای تیم مالی یک شرکت فعال در امور مالی را فریب دهند تا مبلغی را به یک حساب کاربری انتقال دهد. 

تمامی یافته‌ها نشان از این مسئله دارند که توانایی چت‌جی‌پی‌تی  در زمینه ساخت ایمیل‌های فیشینگ متقاعدکننده بسیار بالا است. به‌طوری‌که چت‌جی‌پی‌تی با الگوبرداری از نمونه‌های موجود می‌تواند ایمیل‌های دقیق و سفارشی ایجاد کند که تشخیص آن‌ها از یک ایمیل واقعی دشوار است. از دیگر نگرانی‌های مرتبط با چت‌جی‌پی‌تی ارائه پاسخ‌های به‌ظاهر معتبر و درست، اما کاملا اشتباه است. فناوری جعل عمیق (Deep Fake) که ویدئو و صدای افراد را شبیه‌سازی می‌کند، موضوع نگران‌کننده بعدی در این زمینه است. شبیه‌سازی کلمات و صدای یک فرد از طریق چت‌ربات‌ها کار متخصصان در شناسایی نمونه‌های جعلی از واقعی را سخت خواهد کرد.

دیگر چالش‌های امنیتی مهم مرتبط با چت‌جی‌پی‌تی 

همان‌گونه که اشاره کردیم، چت‌جی‌پی‌تی به‌‌عنوان یک سامانه پردازش زبان طبیعی مسئولیت محافظت از اطلاعات حساس کاربرانش در برابر تهدیدات امنیتی مختلف را دارد. با این‌حال، همانند هر فناوری دیگری، چت‌جی‌پی‌تی با برخی چالش‌های امنیتی روبه‌رو است که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد: 

• حفظ حریم خصوصی: چت‌جی‌پی‌تی با دسترسی به داده‌های کاربران و تحلیل آن‌ها، توانایی جمع‌آوری و تحلیل اطلاعات حساس را دارد. بنابراین، حفظ حریم خصوصی کاربران از ابتدای مکالمه تا پایان آن یکی از چالش‌های امنیتی مهم است.
• طراحی بدافزارها و کدهای مخرب: همان‌گونه که اشاره شد، هکرها می‌توانند به شیوه‌های خاصی از چت‌جی‌پی‌تی برای نوشتن کدهای مخرب یا پیاده‌سازی حمله‌های سایبری استفاده کنند. به‌عنوان مثال، با تزریق کدهای مخرب در یک چت‌روم یا پیام‌رسان‌های اجتماعی، هکرها می‌توانند اطلاعات حساس درون محیطی را که کاربر در آن قرار دارد سرقت کنند. 
• پیام‌های جعلی: چت‌جی‌پی‌تی به‌شکل گسترده‌ای از پردازش زبان طبیعی استفاده می‌کند و به همین دلیل قادر به تولید متن‌های جعلی و غیرواقعی است که ممکن است فعالیت‌های تجاری یک سازمان را مختل کرده و عملکرد شبکه را تحت تاثیر قرار دهد. 
• نفوذ به سامانه‌ها: چالش امنیتی بزرگ دیگر چت‌جی‌پی‌تی، خطر نفوذ و تخریب شبکه‌های سازمانی و سامانه‌ها با استفاده از نقاط ضعف امنیتی است. 

موارد یادشده، تنها بخشی از چالش‌هایی است که چت‌جی‌پی‌تی با آن‌ها روبه‌رو است. به‌طور کلی، شرکت‌های فعال در زمینه تولید محصولات امنیتی و دفاعی باید از سیستم‌های پردازش زبان طبیعی مبتنی بر هوش مصنوعی برای بهبود مکانیزم‌های امنیتی و پیشگیری از دسترسی غیرمجاز به منابع سازمانی و محفاظت از داده‌های حساس کاربران استفاده کنند.

هکرها چگونه می‌توانند از چت‌جی‌پی‌تی استفاده کنند؟

چت‌جی‌پی‌تی امکان تبادل پیام میان کاربران و الگوریتم‌های هوشمند را به‌وجود می‌آورد. هکرها، می‌توانند از چت‌جی‌پی‌تی به‌‌عنوان ابزاری برای دستیابی به اهداف‌شان استفاده کنند. به‌طور معمول چت‌جی‌پی‌تی از جانب هکرها با خطرات زیر روبه‌رو است: 

• دستیابی به اطلاعات حساس: هکرها می‌توانند با استفاده از پلتفرم چت‌جی‌پی‌تی، کدهای مخربی را نوشته و به سایت‌ها یا برنامه‌های محبوب برقراری کنفرانس‌های آنلاین تزریق کنند تا تمام پیام‌های مبادله‌شده میان افراد را جمع‌آوری کنند و از اطلاعات حساس برای پیاده‌سازی حمله‌های مختلف استفاده کنند. 
• شناسایی نقاط ضعف امنیتی: هکرها ممکن است برای شناسایی نقاط ضعف امنیتی موجود در سامانه‌ها از چت‌جی‌پی‌تی استفاده کنند تا رخنه‌ای در مکانیز‌های امنیتی پیدا کنند. در شرایطی که چت‌جی‌پی‌تی امکان انجام چنین کاری را نمی‌دهد، اما هکرها به شیوه‌های غیرمستقیم قادر به انجام چنین کاری هستند. 

در مجموع، چت‌جی‌پی‌تی می‌تواند به هکرها فرصت جدیدی برای حمله به سیستم‌ها و دسترسی به اطلاعات حساس در قالب متن‌های چت بدهد. به همین دلیل، مدیران امنیتی باید از راهکارهای امنیتی مناسبی برای جلوگیری از حملات احتمالی استفاده کنند تا اطمینان حاصل کنند که اطلاعات کاربران در امنیت کامل قرار دارند. 

کارشناسان امنیتی چگونه قادر به استفاده از چت‌جی‌پی‌تی برای بهبود مکانیزم‌های امنیتی هستند؟

تا این بخش از مقاله به بررسی معایب و خطرات چت‌جی‌پی‌تی برای صنعت امنیت پرداختیم، اما این پلتفرم هوشمند قادر است کمک‌های قابل توجهی به کارشناسان امنیتی کند که از مهم‌ترین آن‌ها به موارد زیر باید اشاره کرد:

• شناسایی پیام‌های مخرب: چت‌جی‌پی‌تی می‌تواند از الگوریتم‌های هوش مصنوعی برای شناسایی پیام‌های مخرب استفاده کند. این سیستم می‌تواند پیام‌هایی را که شامل کلماتی هستند که به‌طور معمول با فعالیت‌های هکرها و مجرمان سایبری در ارتباط است، شناسایی کرده و مانع نمایش آن‌ها به کاربران شود. 
• رمزنگاری پیام‌ها: چت‌جی‌پی‌تی می‌تواند برای رمزنگاری پیام‌های کاربران از الگوریتم‌های رمزنگاری قوی استفاده کند. این قابلیت به کاربران امکان می‌دهد تا اعتبار پیام خود را حفظ و از دسترسی هرگونه شخص غیرمجاز به پیام خود اطمینان حاصل کنند.
• شناسایی تهدیدات امنیتی: کارشناسان امنیتی می‌توانند از چت‌جی‌پی‌تی برای شناسایی تهدیدات امنیتی موجود در زیرساخت‌ها استفاده کنند. با این کار، می‌توان مانع بروز حملات احتمالی شد و اقدامات مناسبی برای این منظور انجام داد. 

به‌طور کلی، کارشناسان امنیتی می‌توانند از چت‌جی‌پی‌تی برای افزایش سطح امنیت پلتفرم‌های آنلاین و شبکه‌های اجتماعی استفاده کنند، به‌ شرطی که مدل فوق با مولفه‌های کلیدی پلتفرم یکپارچه شود و از الگوریتم‌های رمزگذاری قوی برای محافظت از اطلاعات کاربران استفاده شود. 

راهکار دفاعی صنعت امنیت سایبری در مقابل چت‌جی‌پی‌تی

با توجه به این‌که ممکن است در آینده حملات فیشینگ توسط این چت‌بات طراحی شوند، متخصصان سایبری باید نمونه‌های فیشینگ ساخته‌شده توسط این ربات را شناسایی و به کاربران آموزش دهند. این آموزش می‌تواند شامل نمونه‌های سفارشی که توسط خود چت‌جی‌پی‌تی ایجاد شده و نمونه ایمیل‌هایی باشد که این چت‌بات آن‌ها را می‌سازد. به‌طور کلی قبل از آن‌که شرایط از کنترل خارج شود، سازمان‌ها باید تمهیدات لازم برای مقابله با ابزارهای هوشمند را در نظر بگیرند و کارشناسان امنیتی سایبری نیز آموزش‌های لازم در این زمینه را ببینند. 

کلام آخر

در نگاه اول، چت‌جی‌پی‌تی ابزاری به‌نظر می‌رسد که می‌تواند برای انجام مجموعه‌ای از فرآیندهای کاری مفید باشد، اما قبل از این‌که از چت‌جی‌پی‌تی درخواست کنید یادداشت‌های مهم را خلاصه‌سازی کند یا کار شما را به‌لحاظ وجود اشتباهات مورد ارزیابی قرار دهد، بهتر است به این نکته دقت کنید که هر مطلبی که با چت‌جی‌پی‌تی به‌اشتراک می‌گذارید، ممکن است برای آموزش پلتفرم استفاده شود و حتا در پاسخ‌های‌ش به سایر کاربران نیز ظاهر ‌شود. این موضوعی است که برخی از کارمندان سامسونگ قبل از این‌که اطلاعات محرمانه خود را با این ابزار هوش مصنوعی به‌اشتراک بگذارند از آن بی‌اطلاع بودند. گزارشی که وب‌سایت اکونومیک کوریا در این ارتباط منتشر کرده نشان می‌دهد که اندکی پس از این‌که واحد نیمه‌رسانای سامسونگ به مهندسان خود اجازه داد از چت‌جی‌پی‌تی استفاده کنند، کارکنان حداقل در سه مورد، اطلاعات محرمانه را در اختیار این ابزار قرار دادند. یکی از کارمندان از چت‌جی‌پی‌تی درخواست کرده بود تا کد منبع پایگاه داده حساس این شرکت را برای وجود اشتباهات بررسی کند، کارمند دیگری بهینه‌سازی کدها را درخواست کرد و سومی یک جلسه ضبط‌شده را به چت‌جی‌پی‌تی ارسال کرده بود و از این ابزار خواسته بود تا جزئیات این جلسه را استخراج کند. 

سامسونگ پس از اطلاع از این مسئله میزان استفاده کارمندان از چت‌جی‌پی‌تی را محدود کرد. این شرکت سرگرم تحقیق از سه کارمند فوق در این زمینه است و اعلام کرده که قصد ساخت چت‌بات مخصوص خود را برای جلوگیری از وقوع خطاهای امنیتی مشابه دارد. 

وب‌سایت انگجت در مقاله‌ای به کاربران هشدار داده است که در خط‌مشی چت‌جی‌پی‌تی به این نکته اشاره شده که سازمان OpenAI از داده‌های کاربران برای آموزش مدل‌های خود استفاده می‌کند، مگر این‌که کاربران به صراحت با این موضوع مخالفت کنند. همچنین، OpenAI از کاربران درخواست کرده تا اطلاعات محرمانه خود را در مکالمات با چت‌جی‌پی‌تی به‌اشتراک نگذارند، زیرا قادر نیست درخواست‌های خاصی را از تاریخچه شما حذف کند. تنها راه پاک شدن اطلاعات قابل شناسایی شخصی در چت‌جی‌پی‌تی، حذف حساب کاربری است که این فرآیند ممکن است حداکثر چهار هفته طول بکشد.