FOKUS TEKNOLOGI – ChatGPT telah menjadi topik yang tak terhindarkan saat ini, dengan cerita-cerita mengagumkan tentang kemampuannya tersebar di mana-mana. Kita telah melihat bagaimana ChatGPT dapat menulis musik, membuat animasi 3D, dan menggubah musik. Apapun yang Anda pikirkan, ChatGPT mungkin bisa melakukannya.
Namun, itulah masalahnya. Komunitas teknologi saat ini tengah khawatir bahwa kecerdasan buatan (AI) akan menyebabkan bencana keamanan dengan hacker-hacker yang paling mahir menciptakan trojan dan ransomware yang tak terhentikan.
Daftar Isi
Kemampuan yang diragukan
Salah satu daya tarik utama ChatGPT adalah kemampuannya untuk melakukan tugas-tugas kompleks hanya dengan beberapa instruksi sederhana, terutama di bidang pemrograman. Kekhawatiran muncul bahwa hal ini akan menurunkan hambatan dalam pembuatan malware, berpotensi meningkatkan jumlah penulis virus yang mengandalkan alat AI untuk melakukan pekerjaan berat bagi mereka.
Joshua Long, Analis Keamanan Utama di perusahaan keamanan Intego, menggambarkan hal ini. “Seperti halnya alat di dunia fisik atau virtual, kode komputer dapat digunakan untuk tujuan baik atau jahat,” jelasnya. “Jika Anda meminta kode yang dapat mengenkripsi file, misalnya, bot seperti ChatGPT tidak dapat mengetahui niat sebenarnya Anda. Jika Anda mengklaim bahwa Anda membutuhkan kode enkripsi untuk melindungi file Anda sendiri, bot akan mempercayai Anda — bahkan jika tujuan sebenarnya Anda adalah membuat ransomware.”
ChatGPT memiliki berbagai mekanisme keamanan untuk melawan hal-hal semacam ini, dan tantangan bagi para pembuat virus adalah cara untuk mengelak dari sistem pengaman tersebut. Jika secara langsung meminta ChatGPT untuk membuat virus yang efektif, bot tersebut akan menolaknya dan membutuhkan trik kreatif dari Anda untuk mengelabuinya agar menjalankan perintah Anda meskipun dengan keberatan. Melihat apa yang dapat dilakukan orang dengan jailbreak di ChatGPT, memungkinkan pembuatan malware dengan menggunakan AI tampak mungkin secara teori. Bahkan, hal ini sudah pernah ditunjukkan, jadi kita tahu hal itu memungkinkan.
Namun, tidak semua orang panik. Martin Zugec, Technical Solutions Director di Bitdefender, berpikir bahwa risiko-risiko tersebut masih relatif kecil. “Sebagian besar penulis malware pemula tidak mungkin memiliki keterampilan yang diperlukan untuk melewati langkah-langkah keamanan ini, sehingga risiko yang ditimbulkan oleh malware yang dihasilkan oleh chatbot masih cukup rendah saat ini,” katanya.
“Malware yang dihasilkan oleh chatbot telah menjadi topik pembicaraan populer akhir-akhir ini,” lanjut Zugec, “tetapi saat ini belum ada bukti yang menunjukkan bahwa hal itu merupakan ancaman besar dalam waktu dekat.” Dan ada alasan sederhana untuk itu. Menurut Zugec, “kualitas kode malware yang dihasilkan oleh chatbot cenderung rendah, membuatnya menjadi pilihan yang kurang menarik bagi penulis malware berpengalaman yang dapat menemukan contoh yang lebih baik di repositori kode publik.”
Jadi, meskipun meminta ChatGPT untuk menciptakan kode berbahaya memang mungkin, mereka yang memiliki keterampilan untuk memanipulasi chatbot AI kemungkinan besar akan kecewa dengan kode yang buruk yang dihasilkannya, menurut Zugec.
Namun, seperti yang dapat Anda tebak, kecerdasan generatif AI masih dalam tahap awal. Menurut Long, risiko peretasan yang ditimbulkan oleh ChatGPT belum terlalu pasti.
“Mungkin saja peningkatan penggunaan bot AI berbasis LLM dapat menyebabkan peningkatan kecil hingga sedang dalam jumlah malware baru, atau perbaikan dalam kemampuan malware dan penghindaran antivirus,” kata Long, menggunakan akronim untuk model bahasa besar yang digunakan oleh alat AI seperti ChatGPT untuk membangun pengetahuannya. “Namun, pada saat ini, belum jelas seberapa besar dampak yang ditimbulkan oleh alat seperti ChatGPT pada ancaman malware di dunia nyata.”
Sahabat phisherman
Jika kemampuan penulisan kode ChatGPT belum sepenuhnya matang, apakah itu dapat menjadi ancaman dalam cara lain, seperti dengan menulis kampanye phising dan rekayasa sosial yang lebih efektif? Di sinilah para ahli sepakat bahwa potensi penyalahgunaan jauh lebih besar.
Bagi banyak perusahaan, salah satu titik serangan potensial adalah karyawan perusahaan yang dapat ditipu atau dimanipulasi untuk memberikan akses di tempat yang seharusnya tidak boleh. Para peretas tahu hal ini, dan sudah banyak serangan rekayasa sosial yang merusak. Misalnya, diperkirakan bahwa kelompok Lazarus dari Korea Utara memulai intrusi mereka ke sistem Sony pada tahun 2014 — yang mengakibatkan bocornya film-film yang belum dirilis dan informasi pribadi — dengan menyamar sebagai perekrut pekerjaan dan meminta seorang karyawan Sony untuk membuka file yang terinfeksi.
Ini adalah area di mana ChatGPT dapat sangat membantu peretas dan pembuat phising dalam meningkatkan karya mereka. Jika bahasa Inggris bukan bahasa asli pelaku ancaman, misalnya, mereka dapat menggunakan chatbot AI untuk menulis email phising yang meyakinkan untuk mereka dan ditujukan kepada penutur bahasa Inggris. Atau chatbot AI ini bisa digunakan untuk dengan cepat membuat sejumlah besar pesan yang meyakinkan dalam waktu yang jauh lebih singkat daripada yang dibutuhkan oleh pelaku ancaman manusia.
Keadaan bisa semakin buruk ketika alat AI lainnya ikut berperan. Seperti yang telah dikemukakan oleh Karen Renaud, Merrill Warkentin, dan George Westerman dalam MIT Sloan Management Review, seorang penipu bisa menghasilkan naskah menggunakan ChatGPT dan memintanya dibacakan melalui telepon dengan suara deepfake yang meniru CEO perusahaan. Bagi karyawan perusahaan yang menerima panggilan tersebut, suara tersebut akan terdengar — dan bertindak — persis seperti bos mereka. Jika suara itu meminta karyawan untuk mentransfer sejumlah uang ke rekening bank baru, karyawan tersebut mungkin akan terjebak karena rasa hormat yang diberikannya kepada bosnya.
Seperti yang dikatakan oleh Long, “Pelaku ancaman tidak perlu lagi mengandalkan kemampuan bahasa Inggris mereka sendiri (yang sering kali tidak sempurna) untuk menulis email scam yang meyakinkan. Atau bahkan harus berpikir sendiri dan menerjemahkan teks cerdik mereka sendiri melalui Google Translate. Sebagai gantinya, ChatGPT — yang sama sekali tidak menyadari potensi maksud jahat di balik permintaan tersebut — dengan senang hati akan menulis seluruh teks email scam dalam bahasa apa pun yang Anda inginkan.”
Dan yang diperlukan untuk membuat ChatGPT melakukan ini semua adalah beberapa perintah yang cerdas.
Apakah ChatGPT dapat meningkatkan keamanan siber Anda?
Namun, tidak semuanya buruk. Sifat yang sama yang membuat ChatGPT menjadi alat yang menarik bagi pelaku ancaman — kecepatannya, kemampuannya untuk menemukan kelemahan dalam kode — membuatnya menjadi sumber daya yang berguna bagi para peneliti keamanan siber dan perusahaan antivirus.
Long menunjukkan bahwa para peneliti sudah menggunakan chatbot AI untuk menemukan kerentanan (“zero-day”) dalam kode yang belum ditemukan, hanya dengan mengunggah kode dan meminta ChatGPT untuk mencari kelemahan potensial. Artinya, metodologi yang sama yang bisa melemahkan pertahanan juga dapat digunakan untuk memperkuatnya.
“Seiring berkembangnya teknologi AI seperti ChatGPT,” kata Long, “di harapkan bisa ada langkah-langkah baru yang dapat digunakan dalam upaya yang positif untuk mencegah ancaman yang ada atau baru.”
Zugec menambahkan bahwa AI juga dapat digunakan untuk melatih pengguna agar lebih waspada terhadap serangan phising. “Kemampuan ChatGPT untuk menghasilkan email phising yang meyakinkan dapat digunakan untuk melatih karyawan perusahaan dalam mengenali dan menghindari serangan semacam itu,” katanya. “Dengan menghadapi serangan phising secara proaktif, perusahaan dapat meningkatkan kesadaran dan kewaspadaan karyawan mereka, sehingga mengurangi risiko jatuh korban.”
Tapi pada akhirnya, seperti dengan hampir semua teknologi, ini tentang mencapai keseimbangan antara manfaat dan risiko. ChatGPT dan AI generatif serupa memiliki potensi untuk memberikan kontribusi positif yang signifikan dalam banyak bidang, termasuk keamanan siber. Namun, di sisi lain, risiko penyalahgunaan juga harus diakui dan dihadapi dengan tindakan pencegahan yang tepat.
Kiat keamanan siber pribadi
Dalam melindungi diri dari potensi ancaman keamanan siber, ada beberapa langkah yang dapat diambil individu:
- Mengadopsi pendekatan pertahanan lapisan ganda: Menggunakan kombinasi firewall, antivirus, antispyware, dan perangkat lunak keamanan lainnya dapat membantu melindungi sistem Anda dari ancaman.
- Memperbarui perangkat lunak dan sistem: Memastikan bahwa semua perangkat lunak dan sistem operasi Anda diperbarui dengan patch terbaru dapat mengurangi risiko terhadap kerentanan yang diketahui.
- Berhati-hati terhadap pesan dan permintaan yang mencurigakan: Jika Anda menerima pesan yang mencurigakan, terutama yang meminta Anda untuk memberikan informasi pribadi atau mengklik tautan yang mencurigakan, sebaiknya berhati-hati dan tidak mengikuti permintaan tersebut tanpa memverifikasi keasliannya.
- Menghindari instalasi file otomatis dan menggunakan sumber resmi: Hindari mengunduh dan menginstal file dari sumber yang tidak terpercaya. Selalu periksa sumber resmi dan pastikan file yang Anda unduh berasal dari sumber yang dapat dipercaya.
Kesimpulan
Meskipun kemampuan ChatGPT dan AI generatif lainnya menimbulkan kekhawatiran tentang potensi penyalahgunaan dalam hal keamanan siber, belum ada bukti konklusif yang menunjukkan bahwa ini akan menjadi bencana keamanan. Risiko-risiko ini masih relatif kecil saat ini, terutama karena kebanyakan penulis malware pemula tidak memiliki keterampilan yang diperlukan untuk mengelak dari langkah-langkah keamanan yang diterapkan oleh ChatGPT.
Namun, para ahli setuju bahwa potensi penyalahgunaan dalam bentuk phishing dan rekayasa sosial lebih nyata. ChatGPT dan alat AI serupa dapat digunakan untuk membuat pesan phishing yang meyakinkan dan manipulatif, meningkatkan potensi keberhasilan serangan terhadap individu atau perusahaan.
Oleh karena itu, penting bagi individu dan organisasi untuk meningkatkan kesadaran akan risiko ini, melindungi diri dengan praktik keamanan yang tepat, dan terus mengikuti perkembangan dalam dunia keamanan siber untuk menjaga diri dari ancaman yang ada dan baru.
