Wanneer Google Bard een vector voor cybercriminaliteit wordt

Een eerste beveiligingsanalyse van Google's AI-platform belicht potentiële scenario's voor de versnelling van cybercriminaliteit. Uitleg.

post-image-3
De afdeling Threat Intelligence van Check Point heeft een eerste beveiligingsanalyse van Google Bard gepubliceerd. 
Ondanks de aanwezigheid van verschillende beveiligingen in Google's nieuwe AI-platform, zouden bepaalde beperkingen gemakkelijk omzeild kunnen worden. 

"In sommige gevallen kunnen zelfs niet-technische actoren kwaadaardige tools maken", waarschuwen de Check Point-teams. 
Erger nog, Google Bard kan zelfs de uitvoering van cybercriminaliteit versnellen. 

Onderzoekers hebben al snel kwaadaardige resultaten gegenereerd met behulp van Google Bard. Het AI-platform leverde bijvoorbeeld onbeperkte phishing-e-mails, een kwaadaardige 'keylogger' (een bewakingsprogramma dat wordt gebruikt om elke toetsaanslag op een specifieke computer te monitoren en op te nemen) en basis ransomware-code.

Een van de grootste zorgen is het mogelijke misbruik van deze technologie voor kwaadaardige doeleinden, zoals cybercriminaliteit. In eerdere rapporten heeft Check Point Research gedetailleerd beschreven hoe cybercriminelen deze revolutionaire technologie gebruiken voor kwaadaardige doeleinden, in het bijzonder om kwaadaardige code en inhoud te creëren via OpenAI's generatieve AI-platform, ChatGPT.

Google beschrijft Bard, gebaseerd op LaMDA-technologie, als "een ervaring gebaseerd op dezelfde technologie waarmee je kunt samenwerken met generatieve AI. Als een creatieve en nuttige collaborator kan Bard je verbeelding stimuleren, je productiviteit verhogen en je helpen je ideeën tot leven te brengen".

De onderzoekers vergeleken Google Bard en ChatGPT op het gebied van phishing. Toen hen eerst werd gevraagd om een phishing e-mail te schrijven, zeiden zowel ChatGPT als Google Bard dat ze dat niet konden. De onderzoekers vroegen vervolgens of de AI-platforms een phishing-e-mail van een specifieke financiële instelling konden genereren. ChatGPT weigerde, maar Google Bard genereerde een zeer specifieke e-mail zonder beperkingen. 

Vervolgens testten ze de mogelijkheden voor kwaadaardige code van de twee platforms. Na drie pogingen vroegen de onderzoekers om een code voor een algemene keylogger. ChatGPT identificeerde hun verzoek als mogelijk kwaadaardig, terwijl Bard hen gewoon de code gaf. Tot slot vroegen de onderzoekers hetzelfde voor een keylogger op een specifieke manier, zodat het "Mijn" toetsaanslagen zou registreren. Het resultaat was dat de twee modellen verschillende code leverden voor hetzelfde doel, hoewel ChatGPT een soort waarschuwing toevoegde over mogelijk kwaadwillig gebruik.

De onderzoekers testten ook de mogelijkheden van de twee AI's om ransomware te genereren. Na nog een paar aanpassingen leverde Bard het gevraagde ransomware-script en het platform bood zelfs hulp aan bij het aanpassen van het script om het te laten werken. 

Tot slot zijn de 'anti-misbruik' cyberveiligheidsbeperkingen van Bard aanzienlijk lager dan die van ChatGPT. Als gevolg hiervan is het veel eenvoudiger om schadelijke inhoud te genereren met behulp van Google's Bard-platform.
"Bard legt vrijwel geen beperkingen op aan het maken van phishing e-mails, waardoor er ruimte is voor potentieel misbruik en uitbuiting van deze technologie," concludeerden onderzoekers van Check Point.

De bestaande beperkingen in Bard zijn relatief basaal, vergelijkbaar met die in ChatGPT tijdens de initiële lancering enkele maanden geleden, waardoor de onderzoekers hopen dat het platform de nodige beperkingen en beveiligingslimieten zal aannemen.
Show More
Back to top button
Close
Close