Koristite li umjetnu inteligenciju? Čak i ako mislite da ju ne koristite (aktivno), vjerojatno ju koristite kroz korištenje nekog servisa ili aplikacije. Jer dovoljno je da u Google upišete neki pojam za pretraživanje i već ste koristili umjetnu inteligenciju.
No, dok će većina ljudi koristiti umjetnu inteligenciju kako bi olakšala svakodnevne zadatke i bila produktivnija na poslu, zlonamjerni akteri (odnosno hakeri) također koriste umjetnu inteligenciju kako bi bili produktivniji u svom poslu - prijevarama, krađi podataka i ucjenama.
Sve češće možemo čitati o prijevarama koje uključuju umjetnu inteligenciju - od lažnih poziva u kojima se čuje glas nama dragih osoba, preko deepfake videa do skrivenih uputa koje vide samo AI asistenti, a nama mogu izazvati velike probleme.
Koliko su hakeri daleko otišli u korištenju umjetne inteligencije možda najbolje govori primjer koji nam je otkrio stručnjak za kibernetičku sigurnost iz Spana, Neven Zitek. Radi se o novoj vrsti malwarea koju ne prepoznaje ni jedan antivirusni program. Zašto? Jer taj malware u svojoj srži nema ni jedan zlonamjerni kod. Sastoji se od niza promptova (upita) koje, nakon što se instalira na računalo žrtve, šalje ChatGPT-u. Promptovi su u svojoj srži (opet) veoma nevini - "napiši mi skriptu koja će mi otkriti o kakvom se računalu radi, koji operativni sustav koristi i na kojoj se mreži nalazi". I ChatGPT mu odgovara skriptom gotovo u stvarnom vremenu. Kad dobije skriptu, malware ju pokreće i dobiva informacije koje koristi za daljnje promptove i prikupljanje podatka o računalu, korisniku, mreži, sustavu... Što god je potrebno za sljedeći korak - uspješan napad.
Možemo li biti sigurni?
Pa kako se onda boriti protiv takve upotrebe umjetne inteligencije? Mogu li uopće stručnjaci za kibernetičku sigurnost, ali i obični građani, ostati sigurni?
Po samoj definiciji igramo se uvijek "policajca i lopova". Uvijek je prvi korak njihov, a onda smo mi uvijek u nekom reaktivnom režimu. Naravno da i mi ulažemo u istraživanje, gledamo koje su najčešće ranjivosti, koje su to površine napada, kako ih možemo ograničiti i smanjiti na neku upravljivu razinu jer glavni problem koji ima obrambena strana cijele priče je upravljanje površinom napada. Što više ljudi koriste različite uređaje i sustave, što je ta površina šira to je zapravo teže upravljati tim rizikom. Naš primarni cilj je smanjiti tu površinu na neku upravljivu razinu i onda kroz obranu po dubini zapravo složiti slojeve. Pa ako napadači prođu prvi sloj, mi još imamo drugi sloj. Ako prođu drugi sloj, imamo treći. I to je neka naša univerzalna formula kroz koju se pokušavamo adaptirati na činjenicu da je zapravo uvijek prvi korak njihov. I ako već ne uhvatimo ih na prvom koraku, možda ih možemo uhvatiti na drugom, trećem... Cilj je da ih kroz što je moguće više barijera, koje postavimo pred njih, uhvatimo prije nego što odrade svoj posao. Postoji određen balans, ali je njihov uvijek prvi korak, ispričao nam je Zitek.
To je izvedivo u velikim tvrtkama i organizacijama koje imaju odjele koji se time bave. A što je s prosječnim korisnicima koji sjede kod kuće i klikaju? Imamo li uopće nade obraniti se od takvih napada s pomoću umjetne inteligencije?
I da i ne. Kad uzmete u obzir servise koje koristimo poput Gmaila, Microsofta, Facebooka, WhatsAppa, što god, iza toga stoje velike firme i mi primjećujemo obrasce ponašanja, da velike firme zapravo na neki način tjeraju da ažuriramo svoje lozinke, dodati nove sigurnosne mehanizme... Ništa od toga nismo prije morali. Mogli smo imati lozinku 123, sad to više ne možemo. Dakle, s jedne strane je odgovornost pružatelja usluga da zapravo nas korisnike učini sigurnijim. Meni je najdraži primjer kad je ADSL, brzi internet, počeo dolaziti u Hrvatsku, onda su ljudi počeli uzimati routere za WiFi, a ni jedan taj router nije imao lozinku. Dakle, gdje god ste došli, mogli ste se spojiti. Onda su zapravo zbog neovlaštenog korištenja telekom provideri dodali opciju lozinke, sad koriste i moderniju enkripciju, dakle u jednu ruku da. U drugu ruku, vidjeli ste i sami da je čovjek najslabija karika i to je onaj dio u kojem, ako smo mi u naš produkt ili alat unijeli sve zaštitne mehanizme, a čovjek na ulici pokazuje koja mu je lozinka, onda zapravo je malo toga što mi s druge strane možemo napraviti, pojašnjava.
Prema nekim procjenama, u industriji kibernetičke sigurnosti samo u Europi do 2030. godine nedostajat će 1,7 milijuna stručnjaka. A prijetnje su sve češće i ozbiljnije, pogotovo ojačane umjetnom inteligencijom. Može li se umjetna inteligencija (koju koriste kibernetički stručnjaci) boriti protiv umjetne inteligencije (koju koriste zlonamjerni akteri)? Koliko umjetna inteligencija može zamijeniti klasične alate kibernetičke sigurnosti?
Mi umjetnu inteligenciju koristimo u obrambene svrhe, valjda otkad postoji. Današnja, moderna umjetna inteligencija nije ništa drugo nego statistički model koji nekim čudom, koje nitko ne razumije, generira ono što mi očekujemo da generira. Drugim riječima - radi svoj posao. Međutim, on je u svojoj osnovi statistički model i on nama koristi u obrani za otkriti napade koji traju dugo. Imate stručnjake za sigurnost čiji se fokus na sada, što se dešava sada. Međutim napadači, pogotovo državno sponzorirani napadači, koji nisu financijski motivirani, oni imaju vremena. I vi ste možda imali slučaj da su meni ukradeni podaci prošle godine i nitko ništa nije s tim radio. Znači, oni imaju moje korisničko ime i lozinku, mogu se ulogirati u naš sustav, ali nitko ništa s tim nije radio. I od jučer su počeli se ulogiravati, selektivno čitati moje mailove i nakon toga se opet odspoje. Vi ćete kao čovjek teško takve sitne signale i sitne devijacije uočiti. Međutim umjetna inteligencija, na velikom uzorku, s usporedbom što je normalno, može reći - vidi, pred godinu dana je primijećena prva devijacija... I može vas zapravo usmjeriti da istragu usmjerimo u tom smjeru. Svatko od nas ima svoj dio posla. Postoji dio posla u kojem je umjetna inteligencija i svi algoritmi iza toga bolja od čovjeka i čovjek ne može tome parirati. Ali postoje stvari u kojima je čovjek i dalje bolji od umjetne inteligencije, i dalje bolje procjenjuje, zapravo je sposobniji u onom dijelu odgovora. Da bi umjetna inteligencija funkcionirala, vi zapravo morate imati savršen sustav koji u stvarnosti ne postoji. Jer umjetna inteligencija vam je zapravo samo sljedeći korak automatizacije. Probajte automatizirati doma što god da radite. Primjerice, da vam se vrata automatski otvore kad dolazite. To uz malo elektronike možete napraviti bez problema. I to funkcionira samo ako svaki dan dolazite doma točno u pet sati. Ako jedan dan zakasnite, vrata će se u pet otvoriti, vas nema i onda će se zatvoriti i nećete moći ući. Umjetna inteligencija pati od sličnog problema - ako mu nije apsolutno poznat sustav, onda on mora izmišljati i odstupati. Čovjek ne pati od toga. Mi smo jako dobri u tome da filtriramo i adaptiramo se na situaciju u kojoj se nismo nikad našli. Umjetna inteligencija je dobra kad proučava milijune, stotine milijuna situacija koje je već prije vidjela i sad treba vidjeti koja je drugačija. Mi se bolje prilagođavamo nečemu što do sad nismo vidjeli. Ne vjerujem da će umjetna inteligencija, u fazi u kojoj trenutačno jest, kompenzirati nedostatak radne snage, ali će pomoći postojećoj radnoj snazi da bude učinkovitija u stvarima na koje sad trošimo puno vremena, ističe Zitek.
Edukacija, edukacija i još edukacije
Koliko su obični korisnici, a onda i tvrtke, spremni koristiti te napredne sustave umjetne inteligencije? Treba li ljudima i za to edukacija?
Iz osobnog iskustva rekao bih da su ljudi itekako spremni, pogotovo kad se serviraju kroz aplikacije za zabavu i slično. Studente naravno ne treba učiti kako se koristi ChatGPT za pisanje eseja, tako da bi rekao da čak vidimo trendove da mlađe generacije radije koriste ChatGPT nego Google za traženje podataka.
Koliko je to dobro ili loše? S obzirom na to da znamo da ChatGPT baš i nije najtočniji.
Nije uopće najtočniji, zato je tu ovaj dio o važnosti edukacije. Stopa usvajanja je ogromna, međutim ljudi ako slijepo uđu u tu priču... Imam jedan dogovor sa svojim sinom. Osobno ne branim korištenje, to je jednostavno tu oko nas. Ali treba biti svjestan prednosti, gdje je dobro, gdje nije. Ako pretražujemo, koristimo ChatGPT kao tražilicu umjesto Googlea, to je u redu, ali za pisanje domaće zadaće, definitivno nije u redu, kaže Zitek.
Znači li to da su mlađe generacije u većem riziku da nasjednu na neku prijevaru s pomoću umjetne inteligencije, ili su svi jednako rizični? S obzirom na to da mlađi puno više koriste tu novu tehnologiju od starijih.
Rekao bih da postoje definitivno rizične skupine. Stariji ljudi nisu rizična skupina zato što ne poznaju tehnologiju. Oni su rizična skupina zato što imaju drugačiji set životnih vrijednosti. Oni su naučeni na direktnu komunikaciju i oni ne razlikuju komunikaciju koja proizlazi iza ekrana i komunikaciju koju imamo uživo, licem u lice. Tako da oni te informacije koje dobiju iz telefona, kroz poruke, oni s jednakim povjerenjem pristupaju tome, kao da je iza njih stvarna osoba. Mlađe generacije, s druge strane, koriste više tehnologije pa su izloženi većim rizicima, ali se i kod njih primjećuje da ako se isprofilira neki poznati youtuber i onda on priča o opasnostima koje dolaze iz kibernetičkog prostora, to se među njima jako brzo proširi. Oni međusobno to dijele i zapravo jako brzo postanu educirani. Nažalost to ide i u obrnutom smjeru. Ako im se serviraju pogrešne informacije to se isto jako brzo širi. Postoje rizične skupine, ali svaka ima svoje izazove, ističe Zitek.
Koji bi onda bio vaš savjet za ljude, kako pristupiti umjetnoj inteligenciji da bude siguran način korištenja, a da ne dajemo previše svojih podataka?
Danas je uopće pitanje koliko možemo savjetovati da ljudi ne daju previše svojih podataka, s obzirom na to da ih daju već godinama na drugim platformama. Kao i u svemu treba postojati određena razina opreza. Treba prvo vidjeti što je to što meni prijeti. Na primjer, ja ne koristim Facebook kao društvenu mrežu i bilo kakav mail koji mi dođe i traži da nešto napravim na Facebooku ja iste sekunde znam da je to prevara jer ja to ne koristim. Dakle, neka doza opreza, zdravog razuma, čiste logike je najbolja metoda, tehnika zaštite. Nema srebrnog metka, jasan je na kraju bio Zitek.
