logo

CybergON Blog

Advancing the State of Cybersecurity.

Le implicazioni dell'uso di ChatGPT nella sicurezza informatica

Negli ultimi mesi l’intelligenza artificiale è tornata al centro dell’attenzione soprattutto a partire da novembre 2022, quando sul mercato è arrivato ChatGPT, uno strumento di elaborazione del linguaggio naturale basato sull’intelligenza artificiale.

ChatGPT

ChatGPT è un modello di intelligenza artificiale basato sull’architettura GPT-3.5, il terzo modello di Generative Pretrained Transformer sviluppato da OpenAI. Quello utilizzato, fa parte di un gruppo di modelli di intelligenza artificiale tecnicamente chiamati LLM (Large Language Model) e basati sul machine learning. Funzionano utilizzando una tecnica di deep learning nota come transformer, che consiste nell’utilizzare una rete neurale per analizzare e comprendere il significato di un testo.

ChatGPT è dunque uno strumento di elaborazione del linguaggio naturale (o Natural Language Processing) che utilizza algoritmi avanzati di apprendimento automatico per generare risposte simili a quelle umane all’interno di un discorso.

Grazie alla sua facile usabilità e alla capacità di fornire risposte immediate a un’ampia gamma di domande, di elaborare testi complessi e di risolvere problemi, ChatGPT si è diffuso rapidamente tra gli utenti di tutto il mondo. Tuttavia, ha un grande limite: il database delle informazioni è fermo all’anno 2021 e, dunque, non è in grado di fornire risposte aggiornate.

ChatGPT e regolamentazione

Nel contesto italiano si è verificato il primo caso di regolamentazione del software di intelligenza artificiale relazionale tramite uno stop del Garante Per la Protezione dei Dati Personali il 31 marzo 2023. Il Garante della Privacy ha imposto una limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società statunitense che ha creato e gestisce la piattaforma, in seguito a un data breach accaduto il 20 marzo 2023, in cui risultavano visibili le conversazioni dei singoli utenti e le informazioni relative al pagamento degli abbonati al servizio.

I punti contestati dall’Autorità amministrativa italiana sono diversi, a partire dalla mancanza di un’informativa esplicita agli utenti i cui dati vengono raccolti da OpenAI, all’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, fino ad arrivare alla mancata verifica dell’età degli utenti, dando quindi il via libera indiscriminato all’uso della piattaforma da parte di minorenni esposti al rischio di risposte inadeguate.

Dopo qualche settimana, il 13 aprile 2023, durante la riunione dell’European Data Protection Board (EDPB), le Autorità garanti della UE hanno deciso di istituire una task force “per promuovere la cooperazione e lo scambio di informazioni su eventuali azioni di applicazione condotte alle Autorità di protezione dei dati” e avere un’uniformità di approccio e di interpretazione tra le varie autorità.

Per quanto riguarda l’Italia, l’uso di ChatGPT è stato ripristinato ed entro il 15 maggio 2023 Open AI dovrà promuovere una campagna di informazione su emittenti radiofoniche, televisive, stampa e web per rendere note le modalità di utilizzo dei dati personali ai fini dell’addestramento degli algoritmi.

Quanto costa ChatGPT?

Secondo quanto riportato da The Information, tenere attivo ChatGPT ha un costo superiore ai 700.000 dollari al giorno per OpenAI, costo dovuto prevalentemente al mantenimento dei server. In effetti, nel 2022 l’azienda ha segnato un passivo di 540 milioni di dollari, la cui maggior parte è stata causata proprio dalla programmazione e dalla gestione del tool.

A febbraio di quest’anno, OpenAI ha lanciato il servizio a pagamento ChatGPT Plus al costo di 20 dollari al mese. Il servizio permette di ottenere tempi di risposta più rapidi e avere accesso prioritario alle nuove funzionalità, oltre a rimpinguare le casse dell’azienda. La situazione economica potrebbe comunque peggiorare per l’aumento esponenziale del fruitore della piattaforma e la conseguente necessità di migliorare e velocizzare gli algoritmi. Ad ogni modo, l’azienda non corre rischi di fallimento in quanto la multinazionale Microsoft ha investito oltre 10 miliardi di dollari assicurandosi l’opportunità di utilizzare i modelli di OpenAI nei suoi prodotti.

Gli effetti dell’uso di ChatGPT in ambito di sicurezza informatica

ChatGPT, come tutti i tipi di tecnologie, può essere utilizzato per semplificare la vita degli uomini, ma anche per renderla più complicata.

Da un lato, ChatGPT può essere interpellato per ottenere codice dannoso, per individuare una vulnerabilità scoperta recentemente e dunque per rendere ancora più semplice e automatizzato il processo di attacco a un’infrastruttura. Inoltre, può essere sfruttato per migliorare le tecniche di ingegneria sociale e rendere gli attacchi di phishing più mirati, sofisticati e realistici. Ancora, il software di intelligenza artificiale può essere utilizzato per campagne DeepFake: infatti, partendo dalla sua funzione principale, ovvero quella di chatbot, aggiungendo un’interfaccia testuale avanzata e la registrazione di immagini, video e audio, la tecnologia può creare un output video che rappresenta la persona mentre recita frasi che non ha mai realmente detto. In questo caso, i DeepFake possono essere impiegati in campagne diffamatorie, frodi, furti e personificazioni del tutto illegali.

Dall’altro lato, ChatGPT può essere adoperato per far progredire la sicurezza informatica. Ad esempio, i vendor possono individuare e risolvere le vulnerabilità più velocemente, in modo da rendere più sicuro l’utilizzo dei software ed evitare di lasciare porte aperte a potenziali attaccanti. Inoltre, ChatGPT può essere integrato nella formazione anti-phishing di un’azienda per aumentare la consapevolezza dei dipendenti.

In conclusione, consigliamo di utilizzare ChatGPT in modo consapevole, evitando di condividere informazioni sensibili riguardanti il proprio lavoro. Amazon e Microsoft hanno richiesto ai propri dipendenti di non trasferire informazioni riservate o pezzi di codice, aggiungendo che in caso di fuga di informazioni riservate sarebbe difficile individuare il colpevole. Una fuga di notizie, infatti, si è verificata di recente per il colosso sudcoreano Samsung, dove alcuni dipendenti hanno utilizzato ChatGPT per correggere codice sorgente e per ottimizzare codice che identificava chip difettosi. Come si evince, si tratta di dati particolarmente confidenziali che sono stati raccolti da OpenAI.

Ricordiamo che ChatGPT è un software che raccoglie tutti i dati condivisi e li utilizza per alimentare il suo dataset.