Kyberhyökkäyksistä on tekoälyn ansiosta tulossa liian helppoa. Ja erittäin vaarallista. Phishing-hyökkäys voidaan jo nyt luoda tekoälyn avulla ilman, että kehittäjän tarvitsee kirjoittaa riviäkään koodia, kertoi Check Pointin tietoturva-asiantuntija Jarno Ahlström Embedded Conference Finland -tapahtuman keynote-puheessaan.
Tekoäly sinänsä on vanha idea, mutta viime aikojen kehitys on tuonut aiheen suuresti julkisuuteen ja yhä useampien käyttöön. Nyt halutaan mennä kohti AGI-tekniikkaa (artificial generl intelligence). Se olisi kone, joka pystyisi vastaamaan ja ratkaisemaan minkä tahansa ongelman, piirtämään kuvan, säveltämään laulun tai tekemään esityksen itsenäisesti, Ahlström sanoi.
- Kun OpenAI:n ChatGPT 4 tuli ulos maaliskuussa, jotkut jo kysyivät, olemmeko päässeet AGI-tasolle. Mielestäni emme. Datasarjat ovat puolitoista vuotta vanhoja, joten se ei tiedä mitään sen jälkeen. Se ei myöskään voi opettaa itseään pidemmälle.
Sanfranciscolaisella OPenAI:lla on muitakin työkaluja. DALL-E generoi kuvia tekstistä hyvin tehokkaasti. Codex osaa täydentää ohjelmistokoodia, koska se on koulutettu 54 miljoonasta Github-koodivarannosta. Marraskuussa 2022 esitelty ChatGPT oli kuitenkin se, joka räjäytti pankin. Ja tämä kaikki tapahtui vain kahdessa vuodessa.
ChatGPT:tä voidaan käyttää hyviin, mutta ikävä kyllä myös haitallisiin tarkoituksiin. Ahlström demosi, miten ChatGPT:tä voidaan pyytää laatimaan phishing-sähköposti, joka näyttää tulevan kuvitteellisesta webbihostauspalvelusta. Generoitu sähköposti voi olla millä kiellä tahansa. ChatGPT:tä voi pyytää korvaamaan palautelinkki toisella, jolla ladataan lisätietoa mukana tulleesta excel-tiedostosta.
- Seuraavaksi käytämme Codexia, jotta saisime luotua halutun excel-tiedoston. Tehtävänä on laatia excel-tiedostossa toimiva VBA-koodi, joka lataa halutusta osoitteesta suorittavan ohjelman ja ajaa sen. Koodi pitää sisällyttää exceliin niin, että se ajetaan heti kun excel-tiedosto avataan.
Näin voidaan luoda phishing-hyökkäys tekoälyn avulla ilman, että ollaan kirjoitettu yhtään riviä koodia. Sen kylkeen voidaan pyytää tekoälyä luomaan erilaisia skriptejä, joilla voidaan esimerkiksi skannata haavoittuvuuksia koneesta. ChatGPT:tä voi sitten pyytää luomaan exe-tiedosto aiemmin kehitetyistä skripteistä.
- Ilman yhtäkään koodiriviä olen onnistunut luomaan haittaohjelman ChatGPT:n ja Codexin avulla.
Jarno Alhtrömin esitys löytyy täältä. Video esityksestä näkyy ECF-tapahtuman Youtube-kanavalla.
Teknologia19 – Aalto-yliopiston kyberturvallisuusprofessori Jarno Limnéll uskoo, että luotettavuudesta voi tulla suomalaisten yritysten suurin myyntivaltti tulevaisuudessa. – Tärkein kysymys on tulevaisuudessa, kehen ja mihin voimme luottaa. Luottamuksesta on tulossa hyvin arvokas aineeton pääoma yrityksille, Limnéll sanoi eilen messukeskuksessa.
