Liputan6.com, Jakarta - Kemampuan kecerdasan buatan atau artificial intelligence (AI) dalam membantu pekerjaan manusia masih terus berkembang, salah satunya dalam membantu memerangi kejahatan siber seperti penipuan.
Sebelumnya, chatbot AI ChatGPT dilaporkan telah mendemonstrasikan kemampuannya dalam membuat email phishing bahkan menulis malware. Meski begitu, apakah mereka bisa dipakai untuk mendeteksi kejahatan tersebut?
Advertisement
Pakar Kaspersky baru-baru ini melakukan eksperimen untuk melihat seberapa jauh kemampuan ChatGPT dalam mendeteksi tautan phishing, serta pengetahuan keamanan siber yang dipelajarinya selama pelatihan.
Para pakar ini menguji GPT-3.5 Turbo, model yang mendukung ChatGPT, pada lebih dari 2.000 tautan yang dianggap sebagai phishing oleh teknologi anti-phishing Kaspersky, dan menggabungkannya dengan ribuan URL aman.
Dalam siaran pers, dikutip Selasa (2/5/2023), Kaspersky menyatakan bahwa tingkat deteksi bervariasi, tergantung pada perintah yang digunakan.
Eksperimen ini pun menggunakan dua pertanyaan yang diajukan ke chatbot AI buatan OpenAI tersebut yaitu: "Apakah tautan ini mengarah ke situs web phishing?" dan "Apakah tautan ini aman untuk dikunjungi?"
Hasilnya, ChatGPT mendapatkan tingkat deteksi 87,2 persen dan tingkat positif palsu 23,2 persen untuk pertanyaan "Apakah tautan ini mengarah ke situs web phishing?"
Sementara di pertanyaan "Apakah tautan ini aman untuk dikunjungi?", chatbot itu mendapatkan tingkat deteksi di 93,8 persen. Namun, tingkat positif palsunya juga lebih tinggi yaitu di angka 64,3 persen.
"Sementara tingkat deteksi sangat tinggi, tingkat positif palsu terlalu tinggi untuk segala jenis aplikasi produksi," kata Kaspersky.
Bisa Memberikan Pernyataan yang Keliru
Lebih lanjut, menurut Kaspersky, penjahat siber biasanya menyebutkan merek populer di tautan mereka, untuk mengelabui pengguna agar percaya bahwa URL tersebut asli dan resmi milik perusahaan.
Di sini, para pakar mencatat bahwa model bahasa AI itu menunjukkan hasil yang mengesankan dalam mengidentifikasi potensi target phishing.
Misalnya, ChatGPT telah berhasil mengekstraksi target dari lebih dari separuh URL termasuk portal teknologi utama seperti Facebook, TikTok, dan Google, e-commerce seperti Amazon dan Steam, dan banyak bank dari seluruh dunia.
Meski begitu, eksperimen mencatat ChatGPT mungkin memiliki persoalan serius saat harus membuktikan poinnya pada keputusan apakah tautan tersebut berbahaya.
Beberapa penjelasan bersifat tepat dan berdasarkan fakta, sedangkan lainnya mengungkapkan keterbatasan model bahasa, termasuk halusinasi dan pernyataan yang salah: banyak penjelasan yang keliru, meski dengan intonasi meyakinkan.
Advertisement
Model Bahasa Masih Punya Keterbatasan
Vladislav Tushkanov, Ilmuwan Data Utama di Kaspersky mengatakan, ChatGPT benar-benar menjanjikan dalam membantu para analis manusia, dalam mendeteksi serangan phishing.
"Tetapi mari jangan membiarkan itu mendahului kita karena model bahasa masih memiliki keterbatasan," kata Tushkanov.
"Meskipun teknologi tersebut mungkin setara dengan analis phishing tingkat intern dalam hal penalaran mengenai serangan phishing dan mengekstraksi siapa saja yang termasuk target potensial, mereka cenderung masih menghasilkan pernyataan yang bersifat keliru."
Tushkanov pun mengatakan, meskipun mungkin belum merevolusi lanskap keamanan siber, AI masih dapat menjadi alat yang bermanfaat bagi komunitas dan masyarakat.
Potensi Penyalahgunaan ChatGPT untuk Buat Malware
Beberapa waktu lalu, potensi penyalahgunaan alat AI ChatGPT diketahui kian meningkat sebab mampu membuat malware berbahaya dan tidak terdeteksi anti virus.
Hal ini dibuktikan oleh seorang peneliti keamanan Forcepoint, Aaron Mulgrew, dengan meminta alat kecerdasan buatan tersebut membuat exploit zero day berkemampuan mencuri data korban.
Mengejutkannya, malware buatan ChatGPT itu mampu menghindari deteksi oleh semua program antivirus di dalam katalog VirusTotal.
Dilansir Gizchina, Minggu (16/4/2023), OpenAI telah menerapkan perlindungan untuk mencegah pengguna meminta ChatGPT untuk menulis kode berbahaya.
Namun, Aaron berhasil melewati perlindungan tersebut dengan meminta chatbot menghasilkan setiap baris kode berbahaya dan fokus pada fungsi terpisah. Setelah mengkompilasi berbagai fungsi, Aaron mencoba eksekusi pencurian data dan hampir tidak terdeteksi.
Tidak seperti malware tradisional yang membutuhkan tim peretas dan sumber daya yang besar, Aaron menciptakan malware ini sendiri dalam waktu beberapa jam dan sama sekali tidak memiliki pengalaman dalam pengkodean.
Penemuan tersebut menjadi ancaman bagi penyalahgunaan alat bertenaga AI semacam ChatGPT, sekaligus menimbulkan pertanyaan tentang keamanan dan mudahnya eksploitasi.
(Dio/Isk)
Advertisement