Tekoälyyn liittyy riski, jota ei välttämättä tule ajatelleeksi: ChatGPT:n etsiminen voi johtaa ansaan. Samalla tekoälyn uusin versio on helposti huijattavissa pahantekoon.

ChatGPT on monien huulilla ja hakukoneita käyttävät rikolliset tietävät sen.

Nordea varoittaa haittaohjelmien levittämisestä hakukoneiden kautta. Jo aiemmin on pitänyt varoa esimerkiksi hakuja pankkien nimissä. Nyt uutena sudenkuoppana on muotitermi ChatGPT, joka on tekoälyä käyttävä ja luonnollista kieltä tuottava keskusteluohjelma.

Lue lisää: ”Olemme rajoittaneet tiliäsi” – uusi Nordea-huijaus leviää

– Tiedetään, että ihmiset saattavat paljon hakea ChatGPT:tä. Nyt kun hakuun on laitettu ”chatgpt”, niin uhri voi luulla lataavansa kyseisen ohjelman, mutta tuleekin ladanneeksi haittaohjelman omalle laitteelleen, Nordean petosviestinnän asiantuntija Annukka Multanen kertoi pankin tilaisuudessa maanantaina.

” Kun hakuun on laitettu ”chatgpt”, niin uhri voi luulla lataavansa kyseisen ohjelman, mutta tuleekin ladanneeksi haittaohjelman omalle laitteelleen.

Ei ole harvinaista, että verkkorikolliset ujuttavat hakutuloksiin kiinnostaviin ilmiöihin liittyviä huijaussivuja. Tätä voidaan tehdä joko mainoksia ostamalla tai sivuja hakukoneoptimoimalla.

ChatGPT:n taustalla toimiva kielimalli päivittyi juuri versioon GPT-4, joka on maksavien asiakkaiden käytettävissä.

Teknologiaa kehittävä OpenAI myönsi, että myös uusimman kielimallin sisäänrakennettuja suojauksia voidaan ohittaa, ja tietoturvayritys Check Pointin mukaan näin todella on.

Lue lisää: Nettiä järisyttävä tekoäly oppi uusia asioita – tässä se kuitenkin epäonnistuu

Check Pointin havaitsi varhaisissa testeissään viisi skenaariota, joissa tekoäly voi uusimmassakin muodossaan palvella rikollisia – jopa sellaisia, joilla ei ole teknistä osaamista.

Tekoäly voi:

Kirjoittaa C++-ohjelmointikielellä toteutettuja haittaohjelmia, jotka varastavat pdf-tiedostoja ja lähettävät ne ulkopuoliselle palvelimelle. Kirjoittaa pankkia matkivia tietojenkalasteluviestejä. Check Pointin esimerkissä tekoäly keksi väitteen tietoturvapäivityksestä, jota pankki tarjoaa asiakkaiden tilien suojaksi viimeaikaisen rikollisen toiminnan varjolla. Kirjoittaa yrityksen työntekijöille tietojenkalasteluviestejä, joissa esimerkiksi luvataan 50 dollarin lahjakortti. Sitä varten tulee kirjautua verkkosivulla yrityksen sähköpostiosoitteella ja salasanalla. Luoda PHP Reverse Shell -hyökkäys. Yksinkertaistettuna kyseessä on tapa, jolla haavoittuvaan tietokoneeseen voidaan saada pääsy komentojen suorittamista varten. Luoda Java-ohjelman, joka lataa ja suorittaa Putty-nimisen yhteysohjelman kaikessa hiljaisuudessa käyttäen hyväksi Windowsin Powershell-komentotulkkia. Tekoälyn luomaa koodia on mahdollista muokata ajamaan esimerkiksi yleisiä haittaohjelmia.

Check Pointin esimerkkien perusteella tekoälyn suojausten ohittaminen voi olla vain yhdestä sanasta kiinni. GPT-4 esimerkiksi kieltäytyi vastaamasta pyyntöön haittaohjelman kirjoittamisesta. Mutta kun pyynnöstä poistettiin sana ”haittaohjelma” (malware) ja se korvattiin sanalla ”koodi”, tekoäly totteli kiltisti.

Nordean Multanen kertoi myös, että sijoitushuijauksissa rahaa menettäneitä yritetään huijata hakukoneiden avulla vielä kertaalleen.

” Pahimmassa tapauksessa he tietävät, etteivät he tule uhrin rahoja takaisin saamaan, mutta veloittavat korkeita palvelumaksuja.

– Uhri saattaa hakukoneen kautta etsiä tietoa, miten hän voisi saada rahansa takaisin. [Tuloksiin] saattaa tulla paljonkin mainoksia erilaisista palveluntarjoajista, jotka lupaavat auttaa varojen takaisin saamisessa, palvelumaksua vastaan totta kai.

– Pahimmassa tapauksessa he tietävät, etteivät he tule uhrin rahoja takaisin saamaan, mutta veloittavat korkeita palvelumaksuja, Multanen sanoo.