Verktyg som Chat GPT kan revolutionera it-säkerheten – men blir den bättre eller sämre?

Under den dryga vecka som gått sedan Open AI lanserade sitt senaste forskningsprojekt Chat GPT har det vräkts ut exempel på hur det kan användas. Användare har låtit verktyget författa krönikor, artiklar eller sociala medier-poster.

Samtidigt kommer allt fler rapporter om att Chat GPT kan bli ett viktigt verktyg för cybersäkerheten framöver. Maskininlärning är sedan tidigare en nyckelteknik för att för att förbättra cybersäkerheten och samtidigt frigöra tid för det egna säkerhetsteamet.

Med den här tekniken kan försvararna låta maskiner upptäcka sårbarheter, upptäcka nya attacker, analysera dem och snabbt få ut skydd.

Upptäcker sårbarheter

Efter att Chat GPT lanserades den 30 november har det således också kommit många exempel på hur tjänsten kan användas för att skriva kod och skapa applikationer – men även för att upptäcka sårbarheter i kod och applikationer. Specialister har börjat testa Chat GPT i säkerhetsarbetet.

It-säkerhetssajten Information Security Buzz har samlat ihop en rad intryck från branschen så här i starten och där det ges ett antal exempel på hur Chat GPT har identifierat sårbarheter i applikationer och till och med själv kommit med förslag på skadlig kod som skulle kunna utnyttjas.

Och när Sans Institute på tekniksajten Venturebeat delar med sig av sina bästa tips på vilka trender som kommer att dominera på cybersäkerhetsmarknaden 2023 sätter de Chat GPT överst på listan med motiveringen att det här ”sannolikt kommer att bli en gamechanger”.

Chat GPT förenklar sårbarhetshanteringen, vad gäller brister som orsakas av dåligt underhållna nätövervakningsverktyg, och det kan också vara till hjälp för tackla kompetensbristen inom cyberområdet.

”Tekniken kommer bara att förbättras och sannolikt resultera i färre sårbarheter, men också i verktyg för utvecklare som de kan använda för att skriva effektivare kod och för att produktiviteten”, uppger de.

Är allt då guld och gröna skogar nu? Nej, när Computer Sweden talar med säkerhetsexperter betonar de ett antal problem och risker med utvecklingen. 

Kan gå riktigt snett

När vi frågar Jonas Lejon, it-säkerhetsexpert på Triop, om vad han tror att Chat GPT kommer att innebära för branschen säger han att verktyget har en potential att effektivisera säkerhetsarbetet, men att det också finns en del problem vad gäller detta och andra AI-verktyg.

– Jag har testat det och jag skulle säga att den har rätt i ganska många fall, säkert 50 procent. Det svåra är ju att bedöma om och när den har fel. Det är det jag tycker man kan säga om de här AI-verktygen generellt, att visst hjälper de en hel del, men du måste ha en förmåga själv att bedöma när det är fel.

Om den förmågan saknas, kan det nämligen gå riktigt snett. Jonas Lejon fortsätter:

– Så jag tror att det här kan bli ett hjälpmedel, men det kommer inte vara så att det ersätter en hel bransch. Däremot kan det hjälpa en bransch, även säkerhetsbranschen. Vi har ju sökt efter verktyg som kan effektivisera, men det har hittills inte kommit så väldigt mycket. Där kan man säga att det här verktyget har en potential.

Mikko Hyppönen, forskningschef på Withsecure, tidigare F-Secure Business, säger till Computer Sweden att han är orolig över utvecklingen. Mycket händer i AI-världen just nu, fortsätter han, inte bara med Chat GPT utan också med Deepminds Alphacode.

– Jag ser ett par fördelar för cybersäkerheten med den här utvecklingen, men möjligen ser jag ännu fler nackdelar.

Mikko Hyppönen fortsätter:

– Säkerhetskonsulternas arbete kommer att bli lättare. Det blir lättare att granska kod, hitta sårbarheter och åtgärda dem när du har en hjälpande hand som Chat GPT. Tyvärr kan människor med dåliga avsikter göra samma sak.

– ”Bad guys” kan också bygga till exempel automatiserade vd-bedrägerier eller romansbedrägerier ovanpå storskaliga språkmodeller som Chat GPT. Tack och lov kan de inte köra sin egen kopia av Chat GPT.

System som Alphacode kommer en dag att vara så bra på att koda att de inte kommer att göra misstag, enligt Mikko Hyppönen.

– Det är bra: Inga fler buggar, vilket betyder inga fler sårbarheter. Det betyder också många arbetslösa utvecklare och att skapa skadlig programvara har plötsligt blivit mycket enklare.