כך אפשר לרתום את GPT-3 לשיפור אבטחת המידע

"מאז ש-OpenAI השיקה את ChatGPT בנובמבר אשתקד, עיקר תשומת הלב של קהילת הסייבר הופנה לסיכונים האפשריים שמביאה איתה הטכנולוגיה החדשה, ובראשם השאלה: האם תוקפים לא מיומנים ובעלי יכולות טכנולוגיות מוגבלות יוכלו להיעזר בבינה מלאכותית כדי לכתוב קוד זדוני או הודעות פישינג משכנעות יותר? גם אם התשובה לשאלה הזאת היא חיובית, מאז ומתמיד ראינו בבינה המלאכותית קודם כל בת ברית של קהילת אבטחת המידע ולא יריבה, ולכן אימצנו אותה במהירות לשורותינו", כך אמר שון גלאגר, חוקר איומים ראשי בסופוס, בראיון לאנשים ומחשבים.

מדוע ה-ChatGPT הוא בעל ברית של אנשי אבטחת המידע ואיך זה בא לידי ביטוי?
"ה-ChatGPT, שהוא צ'טבוט מבוסס בינה מלאכותית, יכול לסייע לצוותי הזיהוי והתגובה המורחבים (XDR) לנתח ביעילות כמויות מידע עצומות מתוכנות אבטחה ולאתר פעילות זדונית באמצעות הוראות בשפה טבעית, לשפר מסנני ספאם ולפשט את תהליך הניתוח של קבצים בינאריים שמשמשים לביצוע מתקפות".

שון גלאגר, חוקר איומים ראשי בסופוס. צילום: יח"צ

גלאגר התייחס למחקר חדש שערכה החברה, שמדגים כיצד יכולה קהילת אבטחת המידע לרתום את מודל השפה GPT-3 – שעליו בנויה הגרסה החינמית של ChatGPT (הגרסה בתשלום כבר מבוססת על מודל GPT-4, שהושק בחודש שעבר) – כדי לשפר את רמת האבטחה ולבלום מתקפות סייבר. "במחקר", ציין, "מתואר פרויקט בהובלת צוות Sophos X-Ops, שבו פותחו כלים שמשתמשים במודלי השפה הענקיים של GPT-3 לניתוח כמויות גדולות של מידע ולאיתור פעילות זדונית תוך שימוש בשפה טבעית, שיפור יעילותו של מסנן ספאם וקיצור תהליך הניתוח של קבצים בינאריים שמשמשים במתקפות בשיטת Living Off the Land (LOLBin)".

לפי גלאגר, "קהילת הסייבר צריכה להתייחס לא רק לסיכונים האפשריים – אלא גם לתועלת וליכולות החדשות שמביא אתו מודל השפה GPT-3".

כך ביצעו חוקרי סופוס את המחקר

חוקרי Sophos X-Ops, ובהם יאנגהו לי, מדען הנתונים הראשי של חטיבת SophosAI, פיתחו שלושה אבות טיפוס שמדגימים כיצד יכולה לרתום קהילת הסייבר את כוחו של מודל השפה GPT-3 לשיפור רמת האבטחה ובלימת מתקפות סייבר. כל שלושת אבות הטיפוס אומנו בשיטת Few-shot learning (למידה ממספר קטן של דוגמאות), שמקטינה את כמות הדוגמאות המתויגות שנדרשת לאימון מודל הבינה המלאכותית.

היישום הראשון שפותח הוא ממשק שאילתה בשפה טבעית, המשמש לניתוח כמויות המידע העצומות הנאספות מתוכנות האבטחה השונות וזיהוי פעילויות זדוניות. כך, נבדקה יעילותו של המודל החדש במוצר זיהוי ותגובה המיועד לאבטחת נקודות קצה. "עיקר כוחו של הכלי החדש הוא ביכולתו לסייע למומחי הסייבר לנתח במהירות כמויות מידע עצומות על ידי הקלדת הוראות בשפה טבעית, גם מבלי לשלוט בשפת המחשב SQL, או אפילו לדעת מהו מבנה מסד הנתונים שבו הם מרוכזים", ציין גלאגר.

בשלב הבא, חקרה סופוס מסנן ספאם (דואר זבל אלקטרוני) על בסיס ChatGPT עם מודל השפה GPT-3, ומצאה כי הוא יעיל יותר משמעותית לעומת מסננים על בסיס מודלים אחרים של למידת מכונה. לסיום, הצליחו החוקרים לפתח תוכנית מחשב שמקצרת ומייעלת את תהליך ההנדוס לאחור של קבצים בינאריים המשמשים למתקפות LOLBins. התהליך נחשב תמיד לארוך, קשה ומסובך, אבל הכרחי להבנת התנהגותן ואופן ביצוען של מתקפות Living Off the Land והמפתח לבלימתן בעתיד.

לסיכום אמר גלאגר כי "אחת הדאגות הגוברות של מרכזי תפעול אבטחה (SoC) היא כמות הרעש, שרק ממשיכה לגדול. לארגונים רבים יש משאבים מוגבלים, והם פשוט כורעים תחת עומס ההתראות. הדגמנו שבעזרת מודל שפה כמו GPT-3 אפשר להפוך חלק מהתהליכים המורכבים והארוכים האלה לפשוטים יותר, וכך להחזיר את השליטה לצוותי הסייבר ולסייע להם להתמודד טוב יותר עם האיומים. אנחנו כבר עובדים על שילובם של כמה מאבות הטיפוס האלה במוצרי האבטחה שלנו ובנוסף, פרסמנו אותם במאגר הגיטהאב שלנו, לטובת כל מי שמעוניין להתנסות בשימוש בכלים מבוססי מודל השפה GPT-3 ולהתרשם מיעילותם בסביבת אבטחת המידע שלו. אנחנו מאמינים שבעתיד יכול ה-GPT-3 להפוך לחלק בלתי נפרד מארגז הכלים של מומחי הסייבר".