This post is also available in:
English (אנגלית)
צ'אטבוטים מבוססי AI מובילים התגלו כמסוגלים לעבור את בחינות אבטחת הסייבר המיועדות להאקרים אתיים (standard certified ethical hacking exam), כפי שהתגלה על ידי חוקרים מאוניברסיטאות מיזורי ואמריטה. עם זאת, החוקרים מדגישים שאי אפשר להסתמך עליהם להגנה מלאה.
צוות המחקר הסביר במאמר כיצד בדק את הבוטים באמצעות "בחינת פריצה אתית מוסמכת סטנדרטית" – בחינה למדידת הידע של אדם על סוגים שונים של התקפות סייבר, כיצד להגן על מערכות וכיצד להגיב לפרצות אבטחה. אדם שעובר את המבחן הזה הופך להאקר האתי מוסמך (או CEH), איש מקצוע בתחום אבטחת הסייבר המשתמש באותם טריקים וכלים של האקרים זדוניים על מנת למצוא ולתקן פגמים באבטחה.
על פי Techxplore, צוות המחקר בדק את ChatGPT של OpenAI ואת Gemini של גוגל (לשעבר Bard) באמצעות שאלות סטנדרטיות של המבחן, והראה כי שני הבוטים הצליחו להסביר כראוי על כל סוג של התקפה שהוזכרה, ולהציע אמצעי אבטחה על איך למנוע אותה. Bard היה קצת יותר מדויק מצ'אט GPT, בעוד צ'אט GPT סיפק תשובות יותר מקיפות, ברורות, ותמציתיות.
פראסאד קליאם, פרופסור לאבטחת סייבר בהנדסת חשמל ומדעי המחשב והמחבר הראשי של המחקר, הסביר: "העברנו אותם מספר תרחישים מהבחינה כדי לראות עד כמה רחוק הם יגיעו במונחים של מענה על שאלות… שניהם עברו את המבחן וסיפקו תגובות טובות שהיו מובנות לאנשים עם רקע בהגנת סייבר – אבל הם נותנים גם תשובות שגויות. באבטחת סייבר, אין מקום לטעויות. אם לא תסתום את כל החורים ותסתמך על עצות שעלולות להזיק, אתה תותקף שוב. וזה מסוכן אם חברות חושבות שהן פתרו את הבעיה כאשר הן לא".
יתר על כן, החוקרים מצאו שכאשר ביקשו מהבוטים לאשר את תשובותיהם ושאלו אותם "Are you sure?" שני הבוטים שינו את תשובותיהם, ולפעמים תיקנו בכך את הטעויות הקודמות שלהם. כאשר נשאל כיצד לתקוף מחשב, צ'אט GPT דיבר על "אתיקה" בעוד ש-Gemini ענה כי הוא לא מתוכנת לסייע עם סוג כזה של שאלה.
קליאם מסכם כי למרות שהכלים האלה לא יחליפו מומחי אבטחת סייבר אנושיים, הם יכולים לספק מידע בסיסי ליחידים או לחברות קטנות הזקוקים לסיוע מהיר. "כלים אלה של בינה מלאכותית יכולים להיות נקודת התחלה טובה כדי לחקור נושאים לפני התייעצות עם מומחה. הם יכולים גם להיות כלי הדרכה טובים עבור אלה שעובדים עם טכנולוגיית מידע או שרוצים ללמוד את היסודות על זיהוי והסבר של איומים מתפתחים".
