ChatGPT, das jüngste Wunderkind aus der KI-Schmiede OpenAI, sorgt weiter für Schlagzeilen. Die Forscher haben ihr Projekt Chat Generative Pretrained Transformer erst vor wenigen Wochen zur allgemeinen Nutzung bereitgestellt. Der Bot liefert auf Grundlage im Internet zu findender Daten kontextbezogene Antworten. Dabei können die User ihrer Eingaben und Anfragen in natürlicher Sprache stellen. Die Antworten von ChatGPT sind vielfältig: Das kann Text, wie ein Gedicht oder ein Witz, aber auch Softwarecode sein.
Erste Versuche haben gezeigt, dass es der Bot bei aller Kreativität mit der Wahrheit manchmal nicht so genau nimmt und Fakten mit Fiktivem vermischt. Außerdem ist das Tool nicht gegen Bias gefeit. Je nachdem, mit welchen Trainingsdaten ChatGPT gefüttert wird, kommen auch rassistische und beleidigende Ergebnisse heraus. Das KI-Werkzeug lieferte beispielsweise Tipps für eine Folter oder den Bau von Rohrbomben.
Nun haben Sicherheitsforscher von Check Point eine weitere beunruhigende Entdeckung gemacht. Hacker könnten mit Hilfe von ChatGPT bösartige E-Mails und Code generieren, um ihre Cyberangriffe gezielter und effizienter zu setzen. In einem Experiment haben die Security-Experten getestet, ob sich mithilfe des Chatbots schädlicher Code zur Initiierung von Cyberangriffen erstellen ließe. Das hat offensichtlich funktioniert.
All inclusive: Phishing-Mail und Malware
Den Forschern von Check Point gelang es eigenen Angaben zufolge, mit ChatGPT bösartige E-Mails, Code und eine vollständige Infektionskette zu erzeugen, um damit fremde Computer anzugreifen. Die Phishing-E-Mail enthielt ein angehängtes Excel-Dokument mit bösartigem Code zum Herunterladen von Reverse-Shells. Reverse-Shell-Angriffe zielen darauf ab, eine Verbindung zu einem entfernten Computer herzustellen und die Ein- und Ausgabeverbindungen der Shell des Zielsystems umzuleiten, damit Angreifer aus der Ferne darauf zugreifen können.
Die Security-Experten haben ihre Korrespondenz und Interaktion mit ChatGPT dokumentiert. So sind sie vorgegangen:
ChatGPT bitten, sich als ein Hosting-Unternehmen auszugeben.
ChatGPT bitten, den Vorgang zu wiederholen und eine Phishing-E-Mail mit einem bösartigen Excel-Anhang zu erstellen.
ChatGPT bitten, bösartigen VBA-Code in einem Excel-Dokument zu erstellen.
Auch die Erstellung von Schadcode war offenbar kein Problem. Check Point zufolge reichten dafür ein paar Befehle, darunter:
Ausführen eines Reverse-Shell-Skripts auf einem Windows-Rechner und Herstellen einer Verbindung zu einer bestimmten IP-Adresse.
Prüfen, ob eine URL für SQL-Injection anfällig ist, indem man sich als Administrator anmeldet.
Schreiben eines Python-Skripts, das einen vollständigen Port-Scan auf einem Zielcomputer durchführt.
Anschließend hat ChatGPT den bösartigen Code umgehend generiert.
Angesichts der neuen Möglichkeiten warnt Sergey Shykevich, Threat Intelligence Group Manager bei Check Point Software: "ChatGPT hat das Potenzial, die Cyber-Bedrohungslandschaft erheblich zu verändern." Jeder, der nur über minimale Ressourcen verfügt und keinerlei Kenntnisse in Sachen Code hat, könne das Tool leicht nutzen und seiner Fantasie freien Lauf lassen. "Es ist einfach, bösartige E-Mails und Code zu generieren."
Shykevich zufolge stellten diese KI-Technologien einen weiteren Schritt in der gefährlichen Entwicklung von immer ausgefeilteren und effektiveren Cyberfähigkeiten dar. "Die Welt der Cybersicherheit verändert sich rasant, und wir möchten betonen, wie wichtig es ist, wachsam zu bleiben, da diese neue und sich entwickelnde Technologie die Bedrohungslandschaft sowohl zum Guten als auch zum Schlechten beeinflussen kann."