همین الان که این مقاله را می‌خوانید، ChatGPT  میلیون‌ها پرسش از کاربران سراسر جهان را پاسخ داده و به بسیاری از آن‌ها در تسهیل کارها کمک کرده است. اما برخی از این تعاملات ممکن است به طور ناخواسته منجر به ایجاد آسیب‌پذیری‌های امنیت سایبری شوند.

با تبدیل شدن ChatGPT و مدل‌های زبانی مشابه به بخشی از زیرساخت دیجیتال بسیاری از سازمان‌ها، ضروری است که خطرات احتمالی بررسی شوند و برای جلوگیری از حوادث امنیتی آماده‌سازی لازم انجام گیرد. در این مقاله از سلام دیجی، به بررسی نحوه عملکرد  ChatGPT، تهدیدات امنیت سایبری مرتبط با آن و راهکارهایی برای کاهش این خطرات می‌پردازیم. اگر میخواهید از خطرات ناشی از استفاده نادرست از هوش مصنوعی در امان باشید با ما همراه باشید.

ChatGPTچگونه کار می‌کند؟

ChatGPT  توسط OpenAI توسعه یافته و یک مدل زبانی بزرگ (LLM) است که برای تولید متنی مشابه انسان طراحی شده است. این مدل بر اساس معماری ترانسفورمر عمل می‌کند و با استفاده از مجموعه داده‌های گسترده، الگوهای زبانی، نحو و زمینه را یاد می‌گیرد. فرآیند آموزش اولیه Pre Training و تنظیم دقیق  Fine Tuningقابلیت‌های آن را برای کاربردهای خاص بهبود می‌بخشد.

این مدل به دلیل به‌روزرسانی‌های مداوم و قابلیت‌هایی که دائماً در حال بهبود هستند، توجه بسیاری از توسعه‌دهندگان، بازاریابان و متخصصان امنیت سایبری را به خود جلب کرده است. با این حال، مانند هر فناوری جدید، مدل‌های زبانی بزرگ نیز مجموعه‌ای از خطرات امنیت سایبری جدید ایجاد می‌کنند، از جمله مهندسی اجتماعی و کدهای مخرب.

بیشتر بخوانید: تحول در امنیت ویندوز 11 | نزدیک شدن به عصر بدون رمز عبور با پشتیبانی از کلیدهای عبور

تهدیدات امنیت سایبری مرتبط با ChatGPT

برای مدیریت مؤثر خطرات امنیتی مرتبط با  ChatGPT، باید زمینه‌های اصلی آسیب‌پذیری را شناسایی کنیم. در ادامه، به مهم‌ترین این تهدیدات می‌پردازیم:

1- سرقت داده‌ها

هر سرویس مبتنی بر فضای ابری ممکن است شامل خطراتی برای داده‌های حساس باشد. خرابکاران می‌توانند داده‌ها را در حین انتقال داده یا از سرور مورد هدف قرار دهند. اگر اطلاعات شخصی، اسرار تجاری یا داده‌های مالی در معرض خطر قرار گیرند، رمزگذاری و امنیت قوی برای محافظت از آن‌ها ضروری است.

2- بدافزار و کدهای مخرب

با توجه به اینکه بسیاری از توسعه‌دهندگان از ChatGPT برای تولید یا تحلیل کد استفاده می‌کنند، خطر تولید کدهای مخرب وجود دارد. این خطر می‌تواند با ورودی‌های دستکاری‌شده توسط مهاجمان یا قرار گرفتن مدل در معرض مجموعه داده‌های مخرب افزایش یابد.

3- حریم خصوصی داده‌ها

پلتفرم‌هایی مانند ChatGPT داده‌ها را برای پردازش به سرورها منتقل می‌کنند. این موضوع نگرانی‌های زیادی در مورد حریم خصوصی ایجاد می‌کند: چه کسی به این داده‌ها دسترسی دارد و چگونه از آن‌ها استفاده می‌شود؟

4- خطرات مربوط به مالکیت معنوی (IP)

اگر داده‌های اختصاصی با سیستم‌های AI مانند ChatGPT به اشتراک گذاشته شوند، ممکن است خطراتی برای مالکیت معنوی ایجاد شود. این اطلاعات ممکن است به‌طور ناخواسته یا عمدی در معرض دیگران قرار گیرد و منجر به از دست دادن مزیت رقابتی یا چالش‌های قانونی پیچیده ای شود.

5- حملات باج‌افزاری

در حالی که ChatGPT احتمالاً به طور مستقیم باج‌افزار تولید نمی‌کند، اگر در سیستم‌های دارای آسیب‌پذیری امنیتی ادغام شود، ممکن است راه را برای این حملات باز کند. به عنوان مثال، اگر ChatGPT در محیطی امنیتی برای اتوماسیون پاسخ‌ها استفاده شود و آسیب‌پذیر باشد، می‌تواند به‌عنوان یک دروازه برای ارائه باج‌افزار عمل کند.

موارد استفاده ChatGPT در امنیت سایبری

با وجود خطرات، ChatGPT  به ابزاری قدرتمند در حوزه امنیت سایبری تبدیل شده است. متخصصان امنیتی از این فناوری برای بهبود تدابیر امنیتی، ساده‌سازی فرآیندها و شناسایی آسیب‌پذیری‌ها استفاده می‌کنند. در ادامه به برخی از کاربردهای امنیتی آن اشاره می‌کنیم:

 اشکال‌زدایی کدها

برنامه‌نویسان از ChatGPT برای بررسی خودکار کدها، شناسایی باگ‌ها و ارائه راهکارهای اصلاحی استفاده می‌کنند.

 تولید کدهای امنیتی

علاوه بر اشکال‌زدایی، ChatGPT  به توسعه‌دهندگان کمک می‌کند تا کدهای ایمن تولید کنند.

 اسکن شبکه

ChatGPT  می‌تواند اسکن‌های شبکه را به‌صورت خودکار انجام داده و بینش‌های لحظه‌ای در مورد امنیت شبکه ارائه دهد.

 بررسی قراردادهای هوشمند

در حوزه بلاکچین، ChatGPT  می‌تواند قراردادهای هوشمند را از نظر آسیب‌پذیری بررسی کند.

 تحلیل تهدیدات

ChatGPT می‌تواند سناریوهای امنیتی احتمالی را شبیه‌سازی کند و به بهبود استراتژی‌های امنیتی کمک کند.

چگونه می‌توان از ChatGPT به طور ایمن استفاده کرد؟

استفاده از ChatGPT به شکلی ایمن نیازمند ترکیبی از اقدامات فنی، آگاهی کاربر و سیاست‌های امنیتی است. در ادامه راهکارهای عملی را با هم بررسی می کنیم:

1-استفاده از داده‌های غیرحساس

توصیه:  هرگز اطلاعات حساس مانند رمزعبور، اطلاعات شخصی یا داده‌های محرمانه سازمانی را داخل ChatGPT  وارد نکنید.
مثال:
✅ درست: چگونه می‌توان یک ایمیل خوشامدگویی برای مشتریان جدید نوشت؟
❌نادرست :ایمیل مشتری من به این صورت است: این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید . جزئیات آنها را در یک متن قرار بده.

2- کنترل دسترسی به ابزار

توصیه: تنها افراد مجاز باید به ChatGPT دسترسی داشته باشند. این یعنی محدود کردن استفاده از ابزار به کاربران احراز هویت‌شده.
مثال:
✅ درست: یک حساب کاربری با احراز هویت چندعاملی (MFA) ایجاد کنید و دسترسی ChatGPT را به کارمندان مجاز محدود کنید.
❌ نادرست: برای همه کارکنان شرکت بدون محدودیت دسترسی فراهم کنید.

3- بررسی و اصلاح پاسخ‌های ChatGPT

توصیه: پاسخ‌های تولیدشده توسط ChatGPT را قبل از استفاده بررسی کنید تا از صحت و عدم وجود اطلاعات مضر اطمینان حاصل شود.
مثال:
✅ درست: ChatGPT  پیشنهاد داد از یک دستور SQL استفاده کنیم. قبل از اجرا، کد را بررسی کنیم تا مطمئن شویم شامل کدهای مخرب نیست.
❌ نادرست: کدی که ChatGPT ارائه کرد را بدون بررسی در سیستم اجرا کنیم.

4- استفاده از محیط‌های آزمایشی برای کدها

توصیه: هر کدی که توسط ChatGPT تولید می‌شود، ابتدا در یک محیط آزمایشی و ایزوله اجرا کنید.
مثال:
✅ درست: یک کد جاوا اسکریپت توسط ChatGPT تولید کرده ایم. ابتدا در محیط آزمایشی بررسی می کنیم و پس از اطمینان از ایمن بودن آن، در سرور اصلی استفاده می کنیم.
❌ نادرست: کد تولیدشده توسط ChatGPT را مستقیماً روی سرور اصلی اجرا می کنیم.

5- استفاده از داده‌های ساختگی برای آموزش یا تحلیل

توصیه: به جای ارائه داده‌های واقعی به ChatGPT، از داده‌های ساختگی یا عمومی تر استفاده کنید.
مثال:
✅ درست:  از ChatGPT خواستیم تحلیل داده‌های فروش را انجام دهد و داده‌های (dummy data)  را به آن ارائه دادیم.
❌ نادرست: داده‌های واقعی مشتریان را برای تحلیل به ChatGPT بدهیم.

6- رعایت قوانین حریم خصوصی و مقررات

توصیه: استفاده از ChatGPT باید با قوانین محلی مانند GDPR و HIPAA سازگار باشد.
مثال:
✅ درست: اطمینان حاصل کردیم که هیچ اطلاعاتی از مشتریان مرکز بهداشت  x را که شامل داده‌های شخصی می‌شود، در ChatGPT استفاده نکنیم.
❌ نادرست: اطلاعات درمانی بیماران را بدون رمزگذاری وارد سیستم کنیم.

7-مدیریت API برای استفاده سازمانی

توصیه: اگر از APIهای ChatGPT استفاده می‌کنید، امنیت ارتباطات و محدودیت‌های دسترسی را تضمین کنید.
مثال:
✅ درست:  API ChatGPT  را به گونه‌ای پیکربندی کردیم که تنها از طریق سرورهای مجاز سازمان قابل دسترسی باشد.
❌ نادرست: API  بدون محدودیت به صورت عمومی در دسترس قرار بگیرد.

8- آگاهی‌بخشی به کاربران

توصیه: کارکنان و کاربران را درباره خطرات احتمالی مطلع نموده و بهترین شیوه‌های استفاده از ChatGPT را به آنان آموزش دهید.
مثال:
✅ درست: تمامی کارمندان ما مطلع هستند که نباید اطلاعات حساس را به ChatGPT وارد کنند و همینطور آموزش دیده اند که چگونه از پاسخ‌های ابزار بصورت ایمن استفاده کنند.
❌ نادرست: هیچ آموزش خاصی در مورد امنیت یا حریم خصوصی به کارکنان داده نشده است.

جدول زیر شامل راهکارهای امنیتی متناسب با چالش های ذکر شده در برابر خطرات احتمالی استفاده ازchatgpt است: