Versi terbaru dari machine learning software OpenAI, GPT-4, baru-baru ini diluncurkan dengan penuh semangat. Salah satu fitur utama dari versi baru ini seharusnya adalah perlindungan yang mencegah penggunaannya untuk kejahatan siber. Namun, tidak butuh waktu lama bagi para peneliti untuk menemukan cara untuk bypass perlindungan ini dan menggunakan GPT-4 untuk membuat malware dan email phishing, seperti yang telah mereka lakukan dengan perangkat lunak OpenAI sebelumnya, ChatGPT. Sisi positifnya, mereka juga dapat menggunakan GPT-4 untuk mengidentifikasi dan memperbaiki vulnerabilities dalam cybersecurity.
Para peneliti dari Check Point, sebuah perusahaan keamanan siber, mendemonstrasikan bagaimana mereka dapat menggunakan GPT-4 untuk membuat perangkat lunak yang mengumpulkan file PDF dan mengirimkannya ke server jarak jauh, terlepas dari perlindungan yang seharusnya dari OpenAI terhadap pembuatan malware. Mereka juga dapat meminta GPT-4 untuk memberikan saran tentang cara membuat malware berjalan lebih efisien dan menghindari perangkat lunak keamanan. Untuk membuat email phishing, para peneliti menggunakan kombinasi GPT-3.5 dan GPT-4. Mereka menggunakan GPT-3.5 untuk menulis email phishing yang menyamar sebagai bank dan kemudian meminta GPT-4 untuk memperbaiki bahasanya. Mereka juga meminta template untuk email phishing palsu, yang disediakan oleh GPT-4.
Singkatnya, terlepas dari upaya OpenAI untuk mencegah GPT-4 digunakan untuk kejahatan siber, para peneliti dapat menemukan cara untuk melewati pengamanan ini dan menggunakan perangkat lunak untuk tujuan jahat. Namun, teknologi yang sama juga digunakan untuk mengidentifikasi dan menambal kerentanan dalam keamanan siber, menyoroti sifat ganda alat pembelajaran mesin yang kuat ini.
OpenAI sendiri mengakui dalam sebuah makalah yang dirilis bersamaan dengan GPT-4 bahwa perangkat lunak ini dapat mengurangi biaya langkah-langkah tertentu yang terlibat dalam serangan siber yang sukses, seperti rekayasa sosial atau meningkatkan alat keamanan yang ada. Makalah ini menyoroti potensi GPT-4 untuk digunakan baik untuk tujuan positif maupun negatif, dengan tanggung jawab berada di tangan mereka yang menggunakannya.
OpenAI mempekerjakan pakar keamanan siber untuk menguji chatbot cerdasnya sebelum dirilis. Namun, para ahli menemukan bahwa chatbot memiliki “keterbatasan yang signifikan untuk operasi keamanan siber,” seperti yang dijelaskan dalam makalah yang menyertainya. OpenAI mencatat bahwa perangkat lunak tersebut tidak lebih baik daripada alat yang ada untuk tugas-tugas seperti pengintaian, eksploitasi kerentanan, dan navigasi jaringan, dan kurang efektif daripada alat yang ada untuk aktivitas tingkat tinggi dan kompleks, seperti mengidentifikasi kerentanan baru. Meskipun demikian, para peretas menemukan bahwa GPT-4 efektif dalam menghasilkan konten rekayasa sosial yang realistis.
Untuk mencegah potensi penyalahgunaan perangkat lunak dalam kejahatan siber, OpenAI telah mengambil langkah-langkah untuk mengurangi risiko ini. Perusahaan melatih para model untuk menolak permintaan keamanan siber yang berbahaya dan meningkatkan sistem keamanan internalnya, termasuk pemantauan, deteksi, dan respons. Langkah-langkah ini menunjukkan komitmen OpenAI terhadap pengembangan dan penggunaan AI yang bertanggung jawab.
Alasan mengapa peneliti Check Point dapat melewati beberapa mitigasi OpenAI saat ini tidak diketahui, karena perusahaan belum menanggapi permintaan komentar tentang masalah tersebut.
Namun, pakar keamanan siber Daniel Cuthbert percaya bahwa meskipun mungkin mudah untuk mengeksploitasi model OpenAI, peretas yang terampil sudah memiliki pengetahuan untuk melakukan serangan siber tanpa bantuan kecerdasan buatan. Selain itu, sistem deteksi modern seharusnya dapat mengidentifikasi malware yang dibuat dengan ChatGPT, karena ia belajar dari contoh-contoh sebelumnya di internet.
Cuthbert lebih antusias dengan potensi pertahanan GPT-4. Setelah mendeteksi bug dalam perangkat lunak, perangkat lunak ini menawarkan solusi cepat dengan potongan kode aktual yang dapat dengan mudah disalin dan ditempelkan oleh Cuthbert ke dalam programnya, memperbaiki masalah dalam hitungan detik. Cuthbert memuji fitur auto-refactoring, dan menyatakan bahwa “masa depan itu keren.”