Güvenlik uzmanları, ChatGPT’nin kimlik avı bağlantılarını fark edebilme yeteneğini inceleyen bir araştırma yayınladı. Araştırma, ChatGPT’nin kimlik avı e-postaları oluşturma ve kötü amaçlı yazılım yazma ile alakalı yetenekli olduğunu göstermiş oldu.
Yapay zeka destekli bir dil modeli olan ChatGPT, kimlik avı e-postaları oluşturma konusundaki potansiyelini ispatladı fakat bu teknolojinin yüksek tehdit içeren alanlarda kullanımı için şuan çok erken gibi duruyor. Bu sebeple AI Bot siber güvenlik dünyasında tartışmalara neden oldu.
Güvenlik uzmanları, AI Bot’un kimlik avı bağlantılarını ortaya çıkarma yeteneğini ve eğitim esnasında öğrenmiş olduğu siber güvenlik bilgisini tespit etmek adına deney gerçekleştirdi. Uzmanlar, ChatGPT’ye güç sağlayan model olan GPT-3,5 turboyu Kaspersky anti-phishing teknolojilerinin kimlik avı olarak kabul etmiş olduğu 2 binden fazla bağlantıda test yaptı ve bunu binlerce güvenli URL ile karıştırdı.
Yapılmış olan deneyde, tespit oranlarının kullanılan ipucuna bağlı olarak değişiklik gösterildiği ortaya çıktı. ChatGPT’ye iletilmiş olan iki soru, ‘Bu bağlantı bir kimlik avı web sitesine yönlendiriyor mu?’ ve ‘Bu bağlantıyı ziyaret etmek güvenli mi?’ oldu. Sonuçlar, ilk soru için yüzde 87,2 tespit oranına ve yüzde 23,2 yanlış pozitif oranı taşıdığını göstermiş oldu. İkinci soruya ise yüzde 93,8’lik daha yüksek bir tespit ile karşılaşılırken yüzde 64,3’lük daha yüksek bir yanlış pozitif oranına sahip olduğu ortaya çıktı. Sonuçlara göre, her türlü üretim uygulaması için yanlış pozitif oranının oldukça yüksek olduğu izlendi.
Facebook, TikTok ve Google’da başarılı oldu
Siber dolandırıcılar genel anlamda kimlik avı bağlantılarında popüler markalardan söz ederek kullanıcıları kandırmaya uğraşırlar. Bu noktada, yapay zeka dil modeli ChatGPT, potansiyel kimlik avı amaçlarını belirlemede dikkat çekici sonuçlar sunabilir. Örneğin Facebook, TikTok, Google benzeri büyük teknoloji firmaları, Amazon, Steam benzeri pazar yerleri ve dünyanın dört bir yanındaki URL’lerin çoğundan ek eğitim almadan sonuçlar elde edilmesi mümkün olabilir.
Fakat, gerçekleştirilen deneyler ChatGPT’nin bağlantının kötü amaçlı olup olmadığına karar verme konusunda ciddi sorunlar yaşayabileceği anlamına geliyor. Bu durum, dil modellerinin bilinen sınırlamalarını ve yanlış sonuçlar üretebileceğini tespit etti. Sonuç olarak, kimlik avı saldırılarının sınıflandırılması ve araştırılması ile alakalı birtakım yardımcı özellikleri barındırabilir, fakat kesin sonuçlar için temkinli bir değerlendirme ve insan gözetimi sağlanabilir. AI Bot, saldırıların sınıflandırılması ve araştırılması ile alakalı potansiyel göstermiş olsa da, halen iyileştirilmeye ve geliştirilmeye ihtiyaç duyan bir alan olduğu ortaya çıkıyor.
