OpenAI bestätigt Nutzung von ChatGPT zur Malware-Entwicklung
OpenAI hat in einem offiziellen Bericht bestätigt, dass ChatGPT in mehreren Fällen nachweislich zur Entwicklung von Malware eingesetzt wurde.
(Bild: Balefire / Shutterstock.com)
OpenAI hat sich ausführlich dazu geäußert, wie Cyberkriminelle in der Vergangenheit das ChatGPT-Modell zur Entwicklung von Malware und zur Vorbereitung von Cyberangriffen genutzt haben. Das KI-Unternehmen veröffentlichte einen Bericht, in dem es über 20 Fälle aus 2024 dokumentierte, bei denen Cyberkriminelle ChatGPT für Cyberangriffe oder zur Malware-Entwicklung verwendeten.
Der Bericht mit dem Titel "Influence and Cyber Operations: An Update" offenbart, dass staatlich geförderte Hackergruppen aus Ländern wie China und dem Iran die Fähigkeiten von ChatGPT einsetzten, um vorhandene Malware zu verbessern und neue Schadsoftware zu entwickeln. Sie nutzten ChatGPT dabei in erster Linie dazu, neuen Malware-Code zu debuggen, Inhalte für Phishing-Kampagnen zu generieren und Desinformation in sozialen Medien zu verbreiten.
ChatGPT als Schwachstellen-Finder
Eine etwas anders ausgerichtete Bedrohung ging dem Bericht nach von der iranischen Gruppe "CyberAv3ngers" aus, die mit den Islamischen Revolutionsgarden in Verbindung stehen soll. Diese setzten ChatGPT nicht direkt zur Malware-Entwicklung ein. Vielmehr nutzten Sie die KI, um Schwachstellen in industriellen Steuerungssystemen zu erforschen und dann zielgerichtet Skripte für potenzielle Angriffe auf kritische Infrastrukturen zu programmieren.
In anderen Fällen wurde das KI-Modell dafür eingesetzt, Phishing-Malware zu entwickeln, um damit Benutzerdaten wie Kontakte, Anrufprotokolle und Standortinformationen zu entwenden. Obwohl diese Ergebnisse alarmieren, betonte OpenAI, dass die Cyberkriminellen durch ChatGPT keine signifikanten Durchbrüche bei der Erstellung von Malware erzielten. Auch sei kein Anstieg von erfolgreichen Malware-Attacken durch den missbräuchlichen Einsatz von ChatGPT zu erkennen.
Haftungsfragen bei Schadcode-Generierung
Wie das Online-Portal Cybersecuritynews schreibt, befürchten viele Sicherheitsexperten, dass sich mit der Weiterentwicklung der KI-Technologie die Gefahr des Missbrauchs verstärken und fortsetzen wird. Experten wie der ehemalige US-Bundesstaatsanwalt Edward McAndrew weisen darauf hin, dass Unternehmen, die ChatGPT oder ähnliche Chatbots einsetzen, haftbar gemacht werden könnten, wenn sie jemanden zur Begehung eines Cyberverbrechens verleiten.
US-Tech-Unternehmen berufen sich häufig auf Abschnitt 230 des Communications Decency Act von 1996, um aus der Verantwortung für illegale oder kriminelle Inhalte auf Plattformen zu kommen. Das Gesetz besagt vereinfacht dargestellt, dass Betreiber von Portalen nicht für illegale Beiträge ihrer Nutzer verantwortlich gemacht werden können, solange sie diese Inhalte nicht selbst erstellt haben. McAndrew erklärte auf Cybersecuritynews, dass dieses Gesetz im Falle der Malware-Entwicklung OpenAI möglicherweise nicht vor rechtlichen Schritten schützt, da die Inhalte direkt vom Chatbot stammen.
Lesen Sie auch
Was ist Gemini? So arbeitet Googles KI
Montag: Starship erfolgreich eingefangen, Cyberangriffe mit Hilfe von ChatGPT
Live-Webinar: Mit KI-Modellen wie ChatGPT & Copilot effizienter entwickeln
iX-Workshop: Große Sprachmodelle (LLM) entwickeln und im Unternehmen einsetzen
EU AI Act: Neue Regeln für den Einsatz von KI verstehen und umsetzen
Der Verdacht des Missbrauchs von ChatGPT durch Cyberkriminelle ist nicht neu. Schon 2023 erklärte Sergey Shykevich als leitender ChatGPT-Forscher des israelischen Sicherheitsunternehmens Check Point gegenüber Business Insider, dass Cyberkriminelle den Chatbot für den Schadcode-Einsatz nutzen. Sein Team hatte 2023 schon beobachtet, wie Cyberkriminelle die KI einsetzten, um Code für Ransomware-Angriff zu entwickeln.
Auch andere Cybersicherheitsexperten wie Justin Fier, Direktor für Cyber Intelligence & Analytics bei Darktrace, sehen durch ChatGPT und andere KI-Systeme die Einstiegshürde zur Entwicklung von Schadcode deutlich gesenkt. ChatGPT könnte es für Menschen ohne Programmierkenntnisse einfach machen, Malware und Phishing-E-Mails zu erstellen, da hierbei lediglich auf passende Eingabeaufforderungen zu achten sei.
(usz)