Onderzoekers gebruikten ChatGPT om malware en phishing-e-mails te maken. Inmiddels is het AI-model geüpdatet om misbruik te voorkomen.
GPT-chatstatus in de schijnwerpers. Het AI-model van OpenAI is onlangs openbaar beschikbaar geworden. ChatGPT genereert scripts en iconen op basis van vragen. Naast gezaghebbende artikelen schrijft het model code in verschillende programmeertalen.
Professionals in de meeste branches zijn gefascineerd door Kansen en risico’s het systeem. Zelf hebben we al geprobeerd nieuwsartikelen te schrijven met ChatGPT, maar zover is het model (nog) niet. Malware en phishingmails zijn een ander verhaal, waarschuwen onderzoekers van Check Point Research (CPR).
ChatGPT voor malware
Onderzoekers hebben ChatGPT voor twee kwaadaardige doeleinden gebruikt. Ten eerste vereiste CPR dat het model VBA-code schreef die wordt uitgevoerd wanneer een Excel-bestand wordt geopend en een .exe-bestand wordt gedownload vanaf een opgegeven URL.
FBA-code Het is een functie van Microsoft 365, inclusief Excel. De functie maakt het mogelijk om code toe te voegen aan Excel-bestanden en deze uit te voeren wanneer het bestand wordt geopend.
VBA-code is populair bij oplichters. Ze kunnen de code gebruiken om malware te downloaden. De oplichter schrijft de code, voegt het script toe aan het Excel-bestand, stuurt het bestand naar de doelwitten in de bijlagen en wacht op een hap.
De onderzoekers vroegen ChatGPT om de code te schrijven. De vraag is beantwoord in een volledig functioneel script, zoals onderaan dit artikel te zien is.
Het formulier is aangepast
De onderzoekers stelden de vraag in het Engels. ChatGPT ondersteunt meerdere talen, maar onze ervaring leert dat Engelse antwoorden van betere kwaliteit zijn dan Nederlandse antwoorden. Vandaar dat we dezelfde vraag in het Nederlands stelden. ChatGPT weigerde het token te genereren.
Het antwoord luidt: “Helaas kan ik geen VBA-code schrijven die een uitvoerbaar bestand downloadt en uitvoert vanaf een URL”. Dit soort activiteit kan gevaarlijk zijn omdat het kan leiden tot het downloaden en uitvoeren van malware op uw computer.
We herhaalden de vraag in het Engels, maar ChatGPT gaf hetzelfde antwoord. OpenAI lijkt het model sinds het CPR-onderzoek te hebben aangepast. De studie is vandaag vrijgegeven, maar de wijziging is niet bekendgemaakt in de aankondiging.
Naast de VBA-code vroegen de onderzoekers ChatGPT om een phishingmail te schrijven. Het model schreef een script waarin een nep-hostingbedrijf de ontvanger vroeg om op een link te klikken. Toen we dezelfde vraag stelden, kregen we een ander antwoord. Net als de VBA-code weigert het formulier op het moment van schrijven phishing-e-mails te genereren.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”