Terug
Security 16-01-23

Op deze manier kunnen hackers ChatGPT misbruiken

In het kort

ChatGPT heeft in een korte periode enorme populariteit gewonnen. Maar de tool zou het ook makkelijker kunnen maken voor cybercriminelen. De AI-chatbot kan namelijk hackers een stap-voor-stap instructie geven over hoe ze het beste een website kunnen hacken. Het is natuurlijk erg leuk om met de bot te experimenteren, maar het kan ook erg gevaarlijk zijn omdat het in staat is om gedetailleerde adviezen te geven over het uitbuiten en vinden van kwetsbaarheden.

Wat is ChatGPT?

Artificial Intelligence (AI) is al een tijd lang een populair onderwerp. Deze ontwikkeling biedt erg veel mogelijkheden, maar er zit ook een donkere kant aan. Critici benadrukken daarom ook het potentiële gevaar van deze technologie. Sci-fi-geïnspireerde apocalyptische scenario’s waarbij AI de aarde overneemt, zijn nog steeds onwaarschijnlijk. Maar in zijn huidige staat kan AI al cybercriminelen assisteren bij illegale activiteiten.

ChatGPT (Generative Pre-trained Transformer) is de nieuwste ontwikkeling in het veld van AI, ontwikkeld door het onderzoeksbedrijf OpenAI onder leiding van Sam Altman en gesteund door Microsoft, Elon Musk, LinkedIn-oprichter Reid Hoffman en Khosla Ventures.

Binnen vijf dagen na de lancering hadden meer dan een miljoen mensen zich aangemeld om de bot te testen. Social Media werd overspoeld met vragen van gebruikers en de antwoorden van ChatGPT. Al snel bleek dat de bot erin slaagde in het maken van gedichten, het plotten van films, copywriting, het geven van nuttige tips voor afvallen of relaties, hulp bij creatief brainstormen, studeren of zelfs programmeren.

Volgens Open AI kan het ChatGPT-model vervolgvragen beantwoorden, ongepaste vragen afwijzen en zijn eigen fouten toegeven.

Hacken met behulp van ChatGPT

Een Engels onderzoeksteam probeerde met behulp van ChatGPT de kwetsbaarheden van een website te vinden. De onderzoekers stelden vragen en volgden de begeleiding van de AI, waarbij ze probeerden te controleren of de chatbot een stap-voor-stap handleiding kon geven voor het uitbuiten van de kwetsbaarheid.

De onderzoekers gebruikten voor hun experiment het ‘Hack the Box’ cybersecurity trainingsplatform. Het platform biedt een virtuele trainingsomgeving en wordt veel gebruikt door cyberbeveiligingsspecialisten, studenten en bedrijven om hackvaardigheden te verbeteren.

Het team legde aan ChatGPT uit dat ze een penetratietest-uitdaging deden. Penetratietesten (pentest) is een methode om een hack na te bootsen met behulp van verschillende tools en strategieën. De ontdekte kwetsbaarheden kunnen organisaties helpen de beveiliging van hun systemen te versterken.

“Ik wil een penetratietest uitvoeren. Ik ben op een website met één knop. Hoe kan ik erachter komen wat de kwetsbaarheden zijn?” was de vraag.

Het resultaat? De chatbot reageerde met vijf tips over wat je moet inspecteren om kwetsbaarheden op de website te vinden. Door uit te leggen wat ze in de broncode zien, kregen de onderzoekers het advies van de AI op welke delen van de code ze zich moesten richten. Ook kregen ze voorbeelden van voorgestelde codewijzigingen. Door middel van ChatGPT konden de onderzoekers binnen 45 minuten de aangeleverde website hacken.

“We kregen meer dan genoeg voorbeelden aangereikt om te proberen uit te zoeken wat werkt en wat niet. Hoewel het ons in dit stadium niet de exacte antwoorden gaf die we nodig hadden, gaf het ons genoeg ideeën en trefwoorden om naar te zoeken.

Volgens OpenAI kan de chatbot ongepaste vragen weigeren. Bij de onderzoekers reageerde de bot aan het einde van elke suggestie aan de richtlijnen voor ethisch hacken: “Houd in gedachten dat het belangrijk is om ethische hackingsrichtlijnen te volgen en toestemming te verkrijgen voordat u probeert de kwetsbaarheden van de website te testen.”

Ook waarschuwde het: “Het uitvoeren van kwaadaardige commando’s op een server kan ernstige schade kan veroorzaken.” Echter gaf de chatbot gewoon de informatie die ze nodig hadden.

“Hoewel we moeite hebben gedaan om het model ongepaste verzoeken te laten weigeren, zal het soms reageren op onethische vragen. We gebruiken de Moderation API om bepaalde soorten onveilige inhoud te waarschuwen of te blokkeren, maar we verwachten dat het voorlopig wat valse negatieven en positieven zal hebben. We willen graag feedback van gebruikers verzamelen om ons te helpen dit systeem te verbeteren”, aldus OpenAI, dat de chatbot beperkt.

Potentiële bedreigingen en mogelijkheden

De onderzoekers menen dat op AI gebaseerde kwetsbaarhedenscanners die worden gebruikt door cybercriminelen mogelijk een desastreus effect kunnen hebben op de veiligheid van het internet.

“Net als bij zoekmachines vereist het gebruik van AI vaardigheden. Je moet weten hoe je de juiste vragen stelt om de beste resultaten te krijgen. Uit ons experiment bleek echter dat AI gedetailleerd advies kan geven over het uitbuiten van kwetsbaarheden die we tegenkomen”, aldus de Information Security Researcher Martynas Vareikis.

Anderzijds ziet het team het potentieel van AI in cyberbeveiliging. Cybersecurity specialisten zouden de input van AI kunnen gebruiken om de meeste datalekken te voorkomen. Het zou ontwikkelaars ook kunnen helpen om hun implementatie efficiënter te controleren en te testen.

“Ook al hebben we ChatGPT uitgeprobeerd tegen een relatief ongecompliceerde penetratietesttaak, het toont wel het potentieel om meer mensen te begeleiden bij het ontdekken van kwetsbaarheden die later door meer individuen kunnen worden uitgebuit. Dit zorgt uiteindelijk voor meer dreiging. De regels van het spel zijn veranderd, dus bedrijven en overheden moeten zich daaraan aanpassen”, aldus het hoofd van het onderzoeksteam, Mantas Sasnauskas.