OpenAI’s ChatGPT is snel een vriend geworden voor veel programmeurs, maar voor cyberbeveiligingsonderzoekers is het blijkbaar niet betrouwbaar genoeg om de gevaarlijke bugs te vangen die er zijn.
In een recent rapport van Immunefi ontdekte het webbeveiligingsbedrijf dat veel beveiligingsonderzoekers ChatGPT gebruiken als onderdeel van hun dagelijkse werkproces. Volgens het onderzoek gebruikt ongeveer 76% van de white hat onderzoekers (die systemen en code onderzoeken op zwakke plekken om te repareren) regelmatig ChatGPT, vergeleken met iets meer dan 23% die dat niet doen.
Het rapport zegt echter dat veel onderzoekers vinden dat ChatGPT tekortschiet op de gebieden waar het telt. Boven alle andere punten van zorg, vond Immunefi dat ongeveer 64% van de respondenten zei dat ChatGPT “beperkte nauwkeurigheid” bood bij het identificeren van beveiligingsproblemen, en ongeveer 61% zei dat het de gespecialiseerde kennis miste voor het identificeren van exploits die hackers kunnen misbruiken.
Jonah Michaels, communicatiemanager bij Immunefi, vertelde TCN dat het rapport laat zien dat white hats “verrassend positief” blijven over het potentieel van ChatGPT, vooral voor educatieve doeleinden, maar zei dat dit geen sentiment was dat zijn bedrijf deelde voor zijn werk.
“De white hats zien er een breder gebruik voor,” zei Michaels. “Wij zien er een beperkter gebruik van, omdat we zien dat het wordt gebruikt om in wezen afvalbugrapporten in te dienen.”
Immunefi, dat gespecialiseerd is in bug bounty programma’s in de Web3-ruimte, heeft gebruikers verboden om bugrapporten in te dienen via ChatGPT sinds het voor het eerst publiekelijk beschikbaar werd. Een tweet die het bedrijf plaatste bevatte een screenshot van een prompt die ChatGPT zelf vroeg waarom het niet te gebruiken voor het rapporteren van bugs, waarop de chatbot antwoordde dat zijn output “mogelijk niet accuraat of relevant is”.
Om deze reden zei Michaels dat Immunefi gebruikers die bugrapporten indienen op basis van ChatGPT onmiddellijk verbant. De reden, zei hij, is dat ze er vaak goed genoeg geschreven uitzien om overtuigend te zijn vanuit een “3,000 foot view,” maar ze zitten meestal vol met fouten die gebaseerd zijn op functies die gewoon niet bestaan.
Hier is ChatGPT over waarom u ChatGPT niet moet gebruiken om bugrapporten te genereren en in te dienen.
Extra herinnering dat het indienen van ChatGPT-bugrapporten op Immunefi u zal bannen omdat de uitvoer nooit accuraat of relevant is. pic.twitter.com/nOvVOmQVmG
– Immunefi (@immunefi) Januari 4, 2023
Sinds de release in november vorig jaar is ChatGPT achtervolgd door de inconsistente nauwkeurigheid van sommige content die het produceert, van valse beschuldigingen van seksueel geweld tot het aanhalen van juridische precedenten die niet bestaan in gerechtelijke documenten.
OpenAI waarschuwt gebruikers om GPT niet blindelings te vertrouwen omdat het de neiging heeft om misleidende of volledig onjuiste informatie te verschaffen, meestal “hallucinaties” genoemd. Een woordvoerder van OpenAI reageerde niet op TCN’s verzoek om commentaar voor dit verhaal.
In het Immunefi-rapport gaf de white hat-community aan dat ChatGPT-modellen meer training nodig zullen hebben in het diagnosticeren van cyberbedreigingen of het uitvoeren van audits, omdat het momenteel ontbreekt aan die gespecialiseerde kennis.
Micheals zei dat de chatbot vandaag de dag lijdt onder het feit dat hij niet over de juiste datasets beschikt en dat ontwikkelaars voorlopig moeten vertrouwen op handmatig gemaakte code om het zekere voor het onzekere te nemen. Hij voegde er echter aan toe dat er in de toekomst een dag zou kunnen komen waarop ChatGPT of andere generatieve AI-tools zoals ChatGPT deze taken op een betrouwbaardere manier kunnen uitvoeren.
“Is het mogelijk voor ChatGPT om te verbeteren en om specifiek getraind te worden op projectrepositories en nog veel meer in de blockchainwereld? Ik denk het wel,” vertelde Michaels aan TCN. “Maar ik denk niet dat ik dat nu kan aanbevelen met hoe hoog de inzet is en hoe nieuw het veld is.”
