È fondamentale che i leader delle aziende riconoscano il crescente impatto dell’IA generativa e agiscano di conseguenza
di Jim Chilton
Quando a novembre OpenAI ha lanciato il suo rivoluzionario modello linguistico di intelligenza artificiale ChatGPT, milioni di utenti sono rimasti affascinati dalle sue capacità. Per molti, tuttavia, la curiosità ha lasciato rapidamente il posto a una seria preoccupazione per il potenziale dello strumento di far avanzare i programmi dei malintenzionati. In particolare, ChatGPT apre agli hacker nuove strade per violare i software avanzati di sicurezza informatica. Per un settore già provato da un aumento del 38% delle violazioni di dati nel 2022, è fondamentale che i leader riconoscano il crescente impatto dell’IA e agiscano di conseguenza.
Prima di formulare soluzioni, dobbiamo identificare le minacce principali che derivano dall’uso diffuso di ChatGPT. Questo articolo esamina questi nuovi rischi, esplora la formazione e gli strumenti necessari ai professionisti della sicurezza informatica per rispondere e chiede ai Governi di vigilare per garantire che l’uso dell’IA non diventi un danno per la sicurezza informatica.
Truffe di phishing generate dall’intelligenza artificiale
Mentre versioni più primitive di IA basata sul linguaggio sono state open source (o disponibili al pubblico) per anni, ChatGPT è di gran lunga l’iterazione più avanzata ad oggi. In particolare, la capacità di ChatGPT di conversare con gli utenti senza errori ortografici, grammaticali e di tempo dei verbi fa sembrare che dall’altra parte della finestra di chat ci sia una persona reale. Dal punto di vista degli hacker, ChatGPT cambia le carte in tavola.
Secondo l’Internet Crime Report 2021 dell’FBI, il phishing è la minaccia informatica più comune. Tuttavia, la maggior parte delle truffe di phishing sono facilmente riconoscibili, in quanto sono spesso piene di errori di ortografia, di grammatica e in generale di frasi un po’ ridicole, soprattutto quelle provenienti da altri Paesi in cui la lingua del malintenzionato non è quella di destinazione. Ma ChatGPT consentirà agli hacker di tutto il mondo di avere una conoscenza quasi perfetta delle diverse lingue per rafforzare le loro campagne di phishing.
Per i responsabili della sicurezza informatica, l’aumento degli attacchi di phishing sofisticati richiede un’attenzione immediata e soluzioni praticabili. I leader devono dotare i loro team IT di strumenti in grado di determinare ciò che è generato da ChatGPT e ciò che è generato dall’uomo, con particolare attenzione alle e-mail “fredde” in arrivo. Fortunatamente, la tecnologia ChatGPT Detector esiste già e probabilmente progredirà insieme alla ChatGPT stessa. L’ideale sarebbe che l’infrastruttura IT integrasse un software di rilevamento dell’intelligenza artificiale, che vagliasse e segnalasse automaticamente le e-mail generate dall’intelligenza artificiale. Inoltre, è importante che tutti i dipendenti vengano regolarmente formati e riqualificati sulle più recenti competenze in materia di consapevolezza e prevenzione della cybersicurezza, con un’attenzione specifica alle truffe di phishing supportate dall’intelligenza artificiale. Tuttavia, spetta sia alle imprese sia al pubblico in generale continuare a promuovere strumenti di rilevamento avanzati, anziché limitarsi a lodare le capacità in espansione dell’IA.
Duplicazione di ChatGPT nella scrittura di codici dannosi
ChatGPT è abile nel generare codici e altri strumenti di programmazione informatica, ma l’IA è programmata per non generare codici che ritiene dannosi o destinati a scopi di hacking. Se verrà richiesto un codice di hacking, ChatGPT informerà l’utente che il suo scopo è quello di “assistere in compiti utili ed etici, aderendo alle linee guida e alle politiche etiche”.
Tuttavia, la manipolazione di ChatGPT è certamente possibile e, con una sufficiente dose di creatività, i malintenzionati potrebbero essere in grado di ingannare l’intelligenza artificiale per generare codici di hacking. In realtà, gli hacker stanno già tramando a questo scopo.
Ad esempio, l’azienda di sicurezza israeliana Check Point ha recentemente scoperto un thread su un noto forum di hacking clandestino di un hacker che affermava di stare testando il chatbot per ricreare strumenti di malware. Se è già stato scoperto un thread di questo tipo, è sicuro che ce ne sono molti altri in giro nel dark web mondiale. I professionisti della sicurezza informatica hanno bisogno di una formazione adeguata (cioè di un aggiornamento continuo) e di risorse per rispondere a minacce sempre crescenti, generate dall’intelligenza artificiale o meno.
Esiste anche l’opportunità di dotare i professionisti della cybersicurezza di una propria tecnologia IA per individuare e difendere meglio il codice hacker generato dall’IA. Sebbene l’opinione pubblica sia la prima a lamentarsi del potere che ChatGPT fornisce a soggetti pericolosi, è importante ricordare che questo stesso potere è ugualmente disponibile per i operatori costruttivi. Oltre a cercare di prevenire le minacce legate a ChatGPT, la formazione in materia di cybersicurezza dovrebbe includere anche istruzioni su come ChatGPT possa essere uno strumento importante nell’arsenale dei professionisti della cybersicurezza. Poiché questa rapida evoluzione tecnologica crea una nuova era di minacce alla sicurezza informatica, dobbiamo esaminare queste possibilità e creare nuovi corsi di formazione per stare al passo. Inoltre, gli sviluppatori di software dovrebbero cercare di sviluppare un’IA generativa potenzialmente ancora più potente di ChatGPT e progettata specificamente per i Security Operations Centers (SOC) gestiti da umani.
Regolamentare l’uso e le capacità dell’IA
Mentre si discute molto sul fatto che i malintenzionati sfruttino l’IA per aiutare a violare software esterni, ciò che raramente viene discusso è il potenziale di violazione di ChatGPT stesso. Da lì, i malintenzionati potrebbero diffondere informazioni errate da una fonte che è tipicamente considerata e progettata per essere imparziale.
Secondo quanto riferito, ChatGPT ha preso provvedimenti per identificare ed evitare di rispondere a domande di natura politica. Tuttavia, se l’IA venisse hackerata e manipolata per fornire informazioni apparentemente obiettive, ma che in realtà sono informazioni di parte ben mascherate o una prospettiva distorta, allora l’IA potrebbe diventare una pericolosa macchina di propaganda. La capacità di una ChatGPT compromessa di diffondere disinformazione potrebbe diventare preoccupante e potrebbe rendere necessaria una maggiore vigilanza pubblica sugli strumenti avanzati di IA e per le aziende come OpenAI.
L’amministrazione Biden ha pubblicato una “Carta dei diritti dell’intelligenza artificiale”, ma la posta in gioco è più alta che mai con il lancio di ChatGPT. Per approfondire l’argomento, abbiamo bisogno di una attività di supervisione che garantisca che OpenAI e altre aziende che lanciano prodotti di IA generativa rivedano regolarmente le loro caratteristiche di sicurezza per ridurre il rischio di hackeraggio. Inoltre, i nuovi modelli di IA dovrebbero prevedere una soglia di misure minime di sicurezza prima che un’IA venga resa disponibile. Ad esempio, Bing ha lanciato la propria IA generativa all’inizio di marzo e Meta sta ultimando un proprio potente strumento, mentre altri giganti tecnologici ne stanno preparando altri.
Mentre le persone si meravigliano – e i professionisti della cybersicurezza riflettono – sul potenziale di ChatGPT e del mercato emergente dell’IA generativa, sono essenziali meccanismi di controlli per garantire che la tecnologia non diventi ingombrante. Oltre ai leader della cybersecurity che devono riqualificare e riattrezzare i loro lavoratori e ai Governi che devono assumere un ruolo normativo più ampio, è necessario un cambiamento generale della nostra mentalità e del nostro atteggiamento nei confronti dell’IA.
Dobbiamo ripensare l’IA dalla base, in particolare per gli esempi open-source come ChatGPT. Prima che uno strumento diventi disponibile al pubblico, gli sviluppatori devono chiedersi se le sue capacità sono etiche. Il nuovo strumento ha un “nucleo programmatico” fondamentale che ostacola veramente la manipolazione? Come possiamo stabilire degli standard che lo richiedano e come possiamo ritenere responsabili gli sviluppatori che non rispettano tali standard? Le organizzazioni hanno istituito standard agnostici per garantire che gli scambi tra diverse tecnologie – dall’edtech alle blockchain e persino ai portafogli digitali – siano sicuri ed etici. È fondamentale applicare gli stessi principi all’IA generativa.
Le discussioni su ChatGPT sono ai massimi storici e, man mano che la tecnologia avanza, è imperativo che i leader tecnologici inizino a pensare a cosa significhi per il loro team, la loro azienda e la società nel suo complesso. In caso contrario, non solo rimarranno indietro rispetto alla concorrenza nell’adozione e nell’utilizzo dell’IA generativa per migliorare i risultati aziendali, ma non riusciranno nemmeno ad anticipare e a difendersi dagli hacker di nuova generazione, che possono già manipolare questa tecnologia per scopi personali. Con la reputazione e i profitti a rischio, il business deve muoversi in modo unitario per adottare le giuste protezioni e rendere la rivoluzione della ChatGPT una realtà da accogliere con soddisfazione, non da temere.
Jim Chilton è CTO di Cengage Group, un’azienda globale di tecnologie dell’informazione e direttore generale ad interim della divisione di formazione sulla cybersicurezza dell’azienda Infosec.