Sprachmodelle wie chatgpt könnten von böswilligen Akteuren genutzt werden, um Softwarecode neu zu schreiben und Phishing-E-Mails besser vorzubereiten, warnte kürzlich ein Cyber-Spezialist.
Das hochmoderne Sprachgenerierungsmodell ist in der Lage, anhand einer vorgegebenen Eingabeaufforderung menschenähnlichen Text zu verstehen und zu generieren, was Unternehmen dabei helfen kann, Prozesse zu rationalisieren. Aber mit der Entwicklung neuer Technologien gehen Risiken einher, sagte Zair Kamal, Direktor für Kundenentwicklung und Cyber-Spezialist bei HSB Canada.
Ein künstliches Intelligenzmodell vom Typ ChatGPT könnte von böswilligen Akteuren auf eine von vier Arten genutzt werden, sagte Kamal in einem Q&A-Artikel früher in diesem Monat:
- Gefährdung sensibler Daten – Sprachmodelle verarbeiten und speichern große Datenmengen aus eingegebenen Abfragen. Wenn Mitarbeiter sensible Daten und vertrauliche Informationen in das Modell hochladen, können Daten gehackt, durchgesickert oder versehentlich offengelegt werden.
- Code neu schreiben, um Malware zu entwickeln — Sprachmodelle sind möglicherweise in der Lage, Softwarecode absichtlich zu ändern. Beispielsweise könnte der Code eines Antivirenprogramms so geändert werden, dass es einen Virus möglicherweise nicht mehr erkennt.
- Vorbereitung von Phishing-E-Mails — Sprachmodelle können möglicherweise die Aufgabe übernehmen, eine gut geschriebene Phishing-E-Mail zu erstellen.
- Effizientere Informationsbeschaffung — Normalerweise führt ein Cyberkrimineller manuelle Suchvorgänge auf der Website oder in sozialen Netzwerken eines Zielunternehmens durch. Aber mit einem ChatGPT-ähnlichen KI-Modell könnten Kriminelle Sprachmodelle für diese Suchvorgänge nutzen und so schneller auf Informationen zugreifen.
Brian Schnese ist stellvertretender Vizepräsident und leitender Risikoberater für organisatorische Resilienz bei HUB International. Er stimmte g zuEnerative KI-Lösungen wie ChatGPT ermöglichen CyberKriminelle versuchen, Material zu erschaffen, das immer schwerer als Betrug zu erkennen ist.
„Ich bin zu ChatGPT gegangen und habe darum gebeten, mir eine E-Mail zu schreiben, die ich an meinen Anbieter senden kann, mit der Bitte, meine Überweisungsanweisungen zu ändern“, sagte er Kanadischer Underwriter in einem aktuellen Interview. „Ich habe sofort eine erstaunlich formulierte E-Mail erhalten, die genau das liefert.“
Wenn die erste Nachricht nicht funktioniert, können Kriminelle zurückgehen und die Nachricht weiter verfeinern.
„Dann bin ich zurückgegangen, nachdem ich meine Antwort erhalten hatte, und ich [asked] Bitte vermitteln Sie ChatGPT ein Gefühl der Dringlichkeit und betonen Sie bitte auch den vertraulichen Charakter dieser Anfrage“, sagte Schnese.
Auf der anderen Seite nutzt die kanadische P&C-Branche GenAI nicht nur zu diesem Zweck Aufgaben vereinfachen wie „traditionelle“ KI, aber für eine Vielzahl von Anwendungen von Marketing und Betrugserkennung bis hin zu juristischen Dokumenten. Beispielsweise können Versicherer GenAI nutzen, um einen Bedrohungsvektor zu verstehen und auch für einfache Offenlegungspflichten und Garantieerklärungen, sagte Greg Markell, Präsident und CEO von Ridge Canada, während einer Branchenveranstaltung Anfang des Jahres.
Um Kunden vor immer ausgefeilteren Angriffen zu schützen, empfiehlt Kamal eine Kombination verschiedener Verteidigungslinien und nicht nur eine Sicherheitsmaßnahme.
Dazu gehört die Identifizierung und Klassifizierung von Daten in verschiedene Vertraulichkeitsstufen sowie die klare Definition, welche Art von Daten mit ChatGPT geteilt werden können und welche vertraulich bleiben sollen.
Unternehmensleiter sollten ihre Teams außerdem über die Bedeutung der Datensicherheit bei der Verwendung von ChatGPT informieren und keine vertraulichen Informationen weitergeben, sodass nur autorisiertes Personal ChatGPT oder verwandte Systeme verwenden darf. Von entscheidender Bedeutung ist auch die Schulung und Sensibilisierung der Benutzer für die Erkennung und Meldung verdächtiger Aktivitäten.
Entwickeln Sie abschließend einen klar definierten Plan zur Reaktion auf Vorfälle im Falle einer Datenschutzverletzung oder eines Datenmissbrauchs. Das istDazu sollten Kommunikationsstrategien, Untersuchungsverfahren und Abhilfemaßnahmen gehören.
Feature-Bild von iStock.com/Supatman