הצד האפל של הבינה המלאכותית: מחוללי AI כמו ChatGPT הופכים גם להיות כלי נשק עוצמתי בידי האקרים, וארגונים נדרשים להיערכות מחודשת. שוחחנו עם יובל וולמן, נשיא חברת אבטחת המידע CyberProof, שטען כי "צריך לחזור לבסיס, ולשים דגש על נהלים נכונים בקרב עובדים".
נדירים הם המקרים שבהם חברות עסקיות, שמצויות בתחרות עזה ביניהן, מבקשות מיוזמתן שהמחוקק יחיל עליהן רגולציה והגבלות - ובהקדם. זה בדיוק המהלך שמקדמות בימים אלה חברות הטכנולוגיה שמובילות את תחום הבינה המלאכותית, כדוגמת אלו שנפגשו לפני מספר שבועות עם הנשיא ביידן.
בקרב אנשי התעשייה ישנה הבנה כי חקיקת רגולציה היא תהליך שעשוי להימשך זמן רב, ועל כן הן הסכימו בשלב זה להתחייב, באופן וולנטרי, לאמנה אתית שתמתן את הסיכונים שמציבה בינה מלאכותית. מרבית הסעיפים באמנה מתמקדים בנושא האבטחה.
בין היתר, האמנה קוראת לפתח אמצעים שיאפשרו למשתמשים לזהות תוכן שנוצר על ידי מחוללי AI (כדוגמת "חותמות מים"), להעביר לידי מומחה אבטחה חיצוניים אפליקציות AI לפני הוצאתן לשוק כדי לזהות חולשות ופרצות, ולשתף מידע ולגבש ביחד נהלים ומדיניות.
יובל וולמן, נשיא חברת CyberProof, המספקת שירותי אבטחת סייבר מנוהלים למגוון תעשיות ומשתייכת לחברת UST, הסביר בשיחה עם "ישראל היום" כי שיתוף פעולה בינלאומי הוא צו השעה. "בתקופת הקורונה, המדינות הוכיחו שהן יכולות לפעול ביחד מול מטרה משותפת. שיתוף הפעולה הזה נדרש גם בתחום הבינה המלאכותית. התחרות העסקית מאיצה את ההתקדמות הטכנולוגית, וצריך רגולציה שתהווה משקל-נגד".
תקיפות חדשות וקטלניות במיוחד
ככלל, הנגישות של האקרים למנועי הבינה המלאכותית הגנרטיבית, כדוגמת ChatGPT, מחייבת היערכות מחודשת בכל עולם אבטחת הסייבר. לפני מספר חודשים, חוקרים מ-HYAS Labs, חברת מחקר בתחום הסייבר, הדגימו כיצד ניתן להשתמש ב-ChatGPT כדי לפתח תוכנות זדוניות מסוג חדש וקטלני במיוחד.
החוקרים פיתחו רוגלה, אותה כינו "הממבה השחורה" (Black Mamba), אשר מסוגלת לשנות את הקוד שלה באופן אוטומטי ובמהירות בזמן שהיא מתפשטת, ולתקשר עם מערכות הגנה של מכשירים ללא צורך בשליטה-מרחוק של האקר אנושי אלא באמצעות יכולות הכתיבה של ChatGPT.
החוקרים הראו כיצד הרוגלה הצליחה לחמוק מבעד מערכות ההגנה המקובלות ולהתפשט למיליוני מכשירים במהירות שיא. וולמן הסביר כי "הניסוי הזה המחיש את השימוש שיכולים האקרים לעשות בטכנולוגיה. זה פוגע ביכולת של מערכות הגנה קיימות להתריע ולהגיב".
הגורם האנושי הוא חומת ההגנה החשובה ביותר
"הממבה השחורה" היא דוגמה לשימוש מתוחכם במנועי AI. הסכנה הגדולה יותר טמונה דווקא בשימוש ב-ChatGPT לצורך ביצוע מתקפות מהסוג הפשוט והנפוץ ביותר: פישינג. במתקפות פישינג, האקרים מנסים לדלות מאנשים פרטים אישיים באמצעות מיילים, הודעות וגם תכתובות צ'אט "תמימות" לכאורה, כדוגמת מייל "מהבנק" שמבקש מאיתנו להחליף סיסמה לאתר האישי.
המפתח בסוג כזה של הונאה הוא האותנטיות של האינטראקציה. כל טעות בהתנסחות או בתחביר עשויה לעורר חשד. יכולות השפה הטבעית המרשימות של ChatGPT מאפשרות להאקרים לייצר תכנים כאלה במהירות וברמת מהימנות גבוהה, ובמגוון שפות. מפתחי מנועי ה-AI, כמו OpenAI וגוגל, פועלים כדי לסתום את הפרצה, אבל לדברי וולמן זה מחייב ארגונים וחברות להדק לא רק את מערכות ההגנה, כי אם גם את ערנותם של העובדים.
ואולם, כמו בכל מאזן אימה בין "שוטרים וגנבים", ה-AI אינה רק כלי התקפי אלא גם הגנתי. "חברות סייבר רבות העבירו חלקים גדולים מהמוצר שלהן אל ממשקי בינה מלאכותית. המנועים הללו יכולים לעזור למומחי האבטחה להיערך למגוון רחב יותר של תרחישי תקיפה, לפתח טקטיקות הגנה חדשות ולעבד כמויות גדולות של דאטה בצורה יעילה. ככלל, לתוקפים תמיד יש יתרון טקטי על פני המתגונן. בינה מלאכותית יכולה לשנות את המאזן", מסכם וולמן.