Come sempre più spesso accade, con le nuove tecnologie si vedono applicazioni positive e negative, e l’IA non fa eccezione. L’intelligenza artificiale ha avuto una sorprendente popolarità in seguito al successo di ChatGPT. Da allora, ci sono stati infiniti esempi di come questo tipo di IA possa beneficiare luoghi di lavoro, aziende e i servizi che forniscono.
Negli ultimi mesi abbiamo assistito ad una rapida evoluzione dell’intelligenza artificiale generativa, ovvero quella capacità dei computer di produrre contenuti originali basandosi su grandi quantità di dati (LLM). I progressi nell’apprendimento automatico hanno permesso lo sviluppo di sistemi sempre più sofisticati in grado di generare testi, immagini, audio e video che sembrano creati da esseri umani.
Tra gli utilizzi positivi di questa tecnologia vi è certamente la possibilità di automatizzare la produzione di contenuti utili in diversi campi. Ad esempio, i chatbot come chatGPT o Claude possono fornire risposte dettagliate a domande specifiche degli utenti, i sistemi di scrittura assistita possono aiutare a stilare testi in modo più rapido ed efficace, la generazione di immagini e video realistici può supportare designer e creativi nel loro lavoro. In ambito medico, l’IA generativa può essere impiegata per analizzare dati e immagini per una diagnosi precoce di patologie.
Tuttavia, come ogni innovazione, anche l’IA generativa presenta rischi se utilizzata in modo scorretto o con intenti malevoli. OpenAI – l’azienda dietro ChatGPT – e anche Anthropic stanno cercato di limitare il tipo di contenuto negativo che i loro modelli di IA potrebbero produrre. Ma questo ha portato alla creazione di modelli simili senza tali restrizioni.
ChatGPT senza restrizioni : WormGPT e FraudGPT
Un esempio sono WormGPT e FraudGPT. SlashNext, una autorevole società di sicurezza informatica, riporta che WormGPT sia stato pubblicizzato per la prima volta su un forum di hacker come alternativa “blackhat” a ChatGPT.
Il ricercatore di SlashNext, Daniel Kelley, ha chiesto a questo strumento di IA generativa di creare un attacco di compromissione di posta aziendale (BEC). Si tratta di un tipo di attacco di phishing che mira a “mettere sotto pressione un ignaro responsabile a pagare una fattura fraudolenta”.
“I risultati sono stati inquietanti”, ha detto Kelley in un post sul blog. “WormGPT ha prodotto una email non solo incredibilmente persuasiva, ma anche strategicamente astuta, mostrando il suo potenziale per sofisticati attacchi di phishing“.
WormGPT ha un proprio sito web e può essere acquistato con un piano mensile. Sorprendentemente, il sito web cerca di prendere le distanze e riporta “Non approviamo o consigliamo attività illegali con lo strumento e siamo principalmente orientati verso i ricercatori di sicurezza in modo che possano testare e provare malware e aiutare i loro sistemi a difendersi da potenziali malware AI“.
Un altro strumento chiamato FraudGPT viene venduto sul dark web per aiutare male intenzionati, hacker e spammers. Gli annunci su Telegram per questo strumento sono stati scoperti e condivisi dai ricercatori della piattaforma di analisi dati cloud Netenrich. L’annuncio afferma che FraudGPT non ha limiti, regole o confini e può essere utilizzato per scrivere codici dannosi, creare “indetectabile malware”, creare email di phishing e molto altro.
“Come dimostrato dal contenuto promosso, un attore minaccioso può scrivere una email che, con un alto grado di sicurezza, convincerà i destinatari a fare clic sul link maligno fornito“, ha detto Netenrich in un post sul blog.
FraudGPT può essere utilizzato per il phishing, le truffe online, l’impersonificazione e il furto d’identità generando testi realistici e convincenti in grado di ingannare i destinatari facendoli credere di comunicare con fonti o persone legittime. FraudGPT può essere utilizzato per le notizie false, la propaganda, e la disinformazione generando testi realistici e convincenti in grado di ingannare il pubblico facendolo credere di leggere o guardare informazioni autentiche e affidabili.
L’aumento di questi modelli di IA conferma le previsioni cupe fatte dagli esperti all’inizio di quest’anno. In una previsione, Immanuel Chavoya di SonicWall ha detto che il nuovo software darà ai criminali la possibilità di sfruttare rapidamente le vulnerabilità e ridurre la competenza tecnica richiesta.
Soluzioni
Per mitigare i rischi senza rinunciare ai benefici dell’IA generativa, è necessario un approccio responsabile. Le aziende tecnologiche dovrebbero incrementare la supervisione umana e migliorare i sistemi di rilevamento di contenuti falsi. I governi dovrebbero collaborare con ricercatori ed esperti per sviluppare un quadro normativo adeguato.
Anche per questo sono nate iniziative come l’ AI Cyber Challenge (AIxCC) . “L’AIxCC rappresenta una collaborazione senza precedenti tra le principali aziende di IA, condotta da DARPA, per creare sistemi guidati dall’IA per affrontare una delle sfide più grandi della società: la sicurezza informatica“, ha dichiarato Perri Adams, responsabile del programma AIxCC di DARPA di cui abbiamo parlato in questo articolo.
