Hacker versuchen OpenAI-Beschränkungen zu umgehen

ChatGPT sorgt seit mehreren Wochen für großen Wirbel. Das von OpenAI entwickelte KI-Tool kann automatisiert Texte generieren und Softwarecode schreiben. Doch auch Cyberkriminelle könnten ChatGPT-Funktionen nutzen, um Malware und Phishing-Nachrichten zu erstellen.

Forscher des Sicherheitsanbieters Check Point haben kürzlich beobachtet, dass in russischen Hackerkreisen bereits geprüft wird, wie sich die Zugangsbeschränkungen für die KI-Anwendung umgehen lassen. In Darknet-Foren werden eifrig diskutiert, wie sie die Kontrollen von IP-Adressen, Zahlungskarten und Telefonnummern überbrücken können.

Hacker tauschen sich in Darknet-Foren aus

Als Beispiel führen die Analysten eine Forumsdiskussion an, in der ein Hacker fragt, wie er am besten mit einer gestohlenen Zahlungskarte an einen aufgerüsteten Account bei OpenAI kommt. Dieser soll den Zugang zu leistungsfähigeren und spezialisierteren Modellen und Funktionen ermöglichen. Zudem zeigt Check Point einen weiteren Beitrag, in dem über die Umgehung der Geokontrollen diskutiert wird.

Den Security-Forschern zufolge auch schon viele Anleitungen in russischen, halblegalen Online-SMS-Diensten, die zeigen, wie man sich bei ChatGPT registrieren kann.

Doch welche Auswirkung wird die kriminelle Nutzung von ChatGPT auf die IT-Sicherheit haben? Sergey Shykevich, Threat Intelligence Group Manager bei Check Point, geht aktuell nicht davon aus, dass die neue Technologie die gesamte Bedrohungslandschaft auf den Kopf stellen wird. Er rechnet vielmehr mit einem Anstieg massenhaft produzierter Malware und vor allem wesentlich besser erstellter Phishing-E-Mails.

Tim Berghoff, Security Evangelist bei G DATA CyberDefense, stimmt dem zu: "Dass aus den 'Gehversuchen' krimineller Hacker auch ein erhöhtes Malware-Aufkommen resultieren wird, ist nur natürlich." KI-entwickelte Malware sei aber derzeit in ihrer Qualität und Funktion nicht besser oder schlechter als bisherige Schadprogramme. "Das einzige Alleinstellungsmerkmal ist, dass eben eine KI die Schadsoftware geschrieben hat und kein Mensch. Ein qualitativer Unterschied ist hier nicht zu beobachten", so Berghoff.

Nach Meinung des G-Data-Experten ist es auch nicht besonders überraschend, dass es Versuche gibt, eine Technologie wie ChatGPT zu missbrauchen. "Kriminelle sind immer bestrebt, neue und mächtige Werkzeuge auszuprobieren." ChatGPT bilde da keine Ausnahme, meint er: "Gleiches haben wir schon mit Angriffswerkzeugen gesehen, die von Penetration Testern eingesetzt werden, wie etwa Cobalt Strike."

Dass KI für die Entwicklung von (Schad-)Software genutzt werde, sei ebenfalls nichts Neues. "Angebote wie Githubs "Copilot" gehören schon lange zum Handwerkszeug von Entwicklern. ChatGPT macht es lediglich noch einfacher für Kriminelle, die über keine oder nur rudimentäre Programmierkenntnisse verfügen", so Berghoff der G-Data-Spezialist.