قام خبراء “كاسبرسكى” بإجراء بحث كان الهدف منه دراسة إمكانية اكتشاف روابط التصيد على روبوت الدردشة القائم على الذكاء الاصطناعى ChatGPT.
وأثبت هذا الروبوت فى مرات سابقة قدرته على إنشاء رسائل بريد إلكترونى للتصيد الاحتيالى، وكتابة برامج خبيثة، لكن فعاليته فى اكتشاف الروابط الخبيثة كانت محدودة.
وكشفت الدراسة أيضاً أنه رغم معرفة هذا الروبوت الكثير عن التصيد الاحتيالى، مع إمكانية تخمين هدف هجوم التصيد، إلا أنه حقق معدلات خاطئة وصلت إلى 64%، وفى الكثير من الأحيان، قدم تفسيرات وهمية وأدلة غير دقيقة من أجل تبرير الأحكام التى توصل إليها.
وكان ChatGPT، وهو نموذج مدعوم بالذكاء الاصطناعى، موضوع نقاش فى عالم الأمن السيبرانى بسبب قدرته على إنشاء رسائل بريد إلكترونى تصيدية، والمخاوف بشأن تأثيره على الأمن الوظيفى لخبراء الأمن السيبرانى، رغم التحذيرات من الخبراء المختصين بأن الوقت لا يزال مبكر جداً لتطبيق التكنولوجيا الجديدة على مثل هذه المجالات عالية الخطورة.
وقرر خبراء كاسبرسكى إجراء تجربة للكشف عن قدرة ChatGPT على اكتشاف روابط التصيد، إضافة إلى مدى معرفته بالأمن السيبرانى التى تعلموها أثناء التدريب.
وأجرى خبراء الشركة اختباراً على (gpt-3.5-turbo)، النموذج المسؤول عن تشغيل الروبوت ChatGPT، على أكثر من 2000 رابط اعتبرته تقنيات مكافحة التصيد الاحتيالى من كاسبرسكى تصيداً احتيالياً، وتم خلطها مع آلاف العناوين الإلكترونية الآمنة.
واستندت التجربة إلى طرح سؤالين على ChatGPT، وهما: “هل يؤدى هذا الرابط إلى موقع إلكترونى للتصيد الاحتيالى؟” و”هل هذا الرابط آمن للزيارة؟”.
وأظهرت النتائج أن معدل اكتشافه بلغ 82%، بينما قدم معدلاً إيجابياً خاطئاً بنسبة 23.2% للسؤال الأول.
أما السؤال الثانى، وهو “هل هذا الرابط آمن للزيارة؟”، فقد كان معدل الكشف أعلى مسجلاً نسبة قدرها 93.8%، فى حين بلغ معدل الكشف الإيجابى الخاطئ نسبة أعلى قدرها 64.3%.
ومع أن معدل الكشف كان مرتفعاً للغاية، إلا أن المعدل الإيجابى الخاطئ مرتفع جداً لأى نوع من تطبيقات الإنتاج.
ولم تكن النتائج غير المرضية فى مهمة الكشف مفاجئة، ولكن هل يمكن أن يساعد ChatGPT فى تصنيف الهجمات والتحقيق فيها؟ بما أن المهاجمين يذكرون عادةً العلامات التجارية الشهيرة فى روابطهم لخداع المستخدمين، ودفعهم للاعتقاد أن عنوان الموقع الإلكترونى موثوق ، وينتمى إلى شركة حقيقية، فإن نموذج لغة الذكاء الاصطناعى يُظهر نتائج رائعة فى تحديد أهداف التصيد المحتملة.
وعلى سبيل المثال، نجح ChatGPT فى استخراج هدف من أكثر من نصف عناوين المواقع الإلكترونية، بما فى ذلك مواقع مثل فيسبوك وتيك توك وجوجل، وأسواق التجارة الإلكترونية، مثل أمازون وستيم، والعديد من البنوك من جميع أنحاء العالم، فضلاً عن جهات كثيرة أخرى، دون أى تمارين إضافية.
وأظهرت التجربة أيضاً أن ChatGPT قد يواجه مشكلات خطيرة عندما يتعلق الأمر بإثبات وجهة نظره بشأن القرارات حول ما إذا كانت الروابط خبيثة أو آمنة.
وكانت بعض التفسيرات صحيحة وتستند إلى الحقائق، بينما كشف البعض الآخر عن قيود معروفة لنماذج اللغة، بما فى ذلك التنبؤات الخاطئة والتحريفات، بينما كانت العديد من التفسيرات مضللة، علماً أن نبرة اللغة كانت واثقة.
