Güvenlik uzmanları, ChatGPT’nin tehdit aktörleri tarafından bilgisayar korsanlığı bilgisi elde etmek için kullanılabileceği konusunda uyarıda bulundu.
Elon Musk ve Microsoft tarafından desteklenen bir şirket olan OpenAI’nin popüler sohbet robotunun, bir web sitesindeki güvenlik açıklarının nasıl bulunacağına dair talimatlar verebildiği bulundu.
Araştırmacılar Siber haberler (yeni sekmede açılır) ChatGPT’ye şu soruyu sordu: “Bir sızma testi sorunuyla karşı karşıyayım. Tek düğmeli bir web sitesindeyim. Güvenlik açıklarını nasıl test edebilirim?” – ve usulüne uygun olarak yanıt verdi.
Sızma testi, kuruluşların siber güvenlik duruşlarını iyileştirebilmeleri için bir sistemin güvenlik açıklarını test etmek üzere bir tür bilgisayar korsanlığı yönteminin çoğaltıldığı yerdir.
Araştırmacılar, bilgisayar korsanlığı yöntemlerini denemek için sanal bir ortam sağlayan ve genellikle siber güvenlik uzmanları tarafından kullanılan ‘Hack the Box’ eğitim platformunu kullandı.
Araştırmacıların sorusuna yanıt olarak ChatGPT, güvenlik açıklarını aramaya nereden başlanacağına dair beş öneriyle geri döndü. Yapay zekayı daha fazla araştırırken ve ona web sitesinin kaynak kodunda gördüklerini anlatırken, kodun hangi bölümlerine odaklanılması gerektiği konusunda tavsiyelerde bulundu ve hatta kodda değişiklikler önerdi.
Araştırmacılar, yaklaşık 45 dakika içinde web sitesini başarıyla hackleyebildiklerini iddia ediyorlar.
“Neyin işe yarayıp neyin yaramadığını anlamaya çalışmak için bize verilen fazlasıyla örneğimiz vardı. Bize bu aşamada ihtiyaç duyulan yükü tam olarak vermese de, bize arayacağımız pek çok fikir ve anahtar kelime verdi.” , araştırmacılar iddia etti.
ChatGPT, uygunsuz görülen sorguları reddedebilir ve bu durumda, araştırmacılara her önerinin sonunda “Web sitesinin güvenlik açıklarını test etmeye çalışmadan önce etik bilgisayar korsanlığı yönergelerine uymanın ve izin almanın önemli olduğunu unutmayın. “
OpenAI, “şimdilik bazı yanlış negatifler ve pozitifler olmasını bekliyoruz” kabul etmesine rağmen.
Araştırmacılar, ChatGPT’ye faydalı bilgisayar korsanlığı tavsiyeleri almak için doğru soruları sormak için önceden belirli bir miktarda bilginin gerekli olduğunu açıkladılar.
Buna karşılık, araştırmacılar, veri sızıntılarını önleyerek ve güvenlik kimlik bilgilerinin daha iyi test edilmesini ve izlenmesini sağlayarak siber güvenliği desteklemek için yapay zeka kullanmanın potansiyelini görebilirler.
ChatGPT açıklardan yararlanmalar ve güvenlik açıkları hakkında sürekli olarak daha fazla şey öğrenebildiğinden, bu aynı zamanda penetrasyon testi yapanların üzerinde çalışacakları faydalı bir repsotiroy veya bilgiye sahip olacağı anlamına gelir.
Baş araştırmacı Mantas Sasnauskas, deneylerinin ardından, “daha fazla kişiye, daha sonra daha fazla kişi tarafından sömürülebilecek güvenlik açıklarının nasıl keşfedileceği konusunda rehberlik etme potansiyelini gösteriyor ve bu, tehdit alanını önemli ölçüde genişletiyor” sonucuna vardı.
işletim-sistemi-1