Eind vorig jaar dook ChatGPT schijnbaar uit het niets op, toen mensen op sociale media massaal geestige en opvallende resultaten deelden van gesprekken met de chatbot. De laatste tijd kwam het programma veel in het nieuws doordat studenten AI gebruiken om hun huiswerk uit te besteden. ChatGPT kan zelfstandig volledige werkstukken en essays schrijven.

Maar het programma kan nog veel meer. Zo kan het bijvoorbeeld ontwikkelaars helpen fouten in hun programmeerwerk te herkennen. "AI gaat in alle sectoren een meerwaarde bieden", zegt cybersecurityexpert Stijn Rommens. Als we het maar inzetten voor het goede.

Maar volgens Maasland is het naïef om te denken dat kwaadwillenden niet óók bezig zijn met ChatGPT. "Cybercriminelen zijn lui en willen op een zo efficiënt mogelijke manier snel geld verdienen", zegt hij.

Cybersecuritybedrijf Check Point waarschuwde recent voor een snel groeiende interesse in ChatGPT vanuit de criminele hoek. Op hackerforums worden al veel tips voor schadelijk gebruik van de chatbot gedeeld.

Toch zijn er op dit moment nog geen aanvallen bekend die met behulp van ChatGPT zijn opgezet, zegt zowel Maasland als Zahier Madhar van Check Point. Het kan volgens hen wel even duren voordat de effecten van ChatGPT zichtbaar worden.

Bij cybersecurityexperts is daarom niet direct sprake van code rood. Het instrument is nieuw, maar de doelen zijn niet veranderd. Criminelen willen nog steeds gegevens of geld stelen.

Maar er bestaan wel zorgen vanuit de cybersecuritywereld, zegt Maasland. "Deze ontwikkeling kan cybercrime democratiseren." Dat betekent dat in één klap veel mensen toegang krijgen tot handvatten om cyberaanvallen te plegen. "Ik denk wel dat tools zoals ChatGPT het begin kunnen zijn van een nieuwe wapenwedloop tussen aanvallers en verdedigers."

"Iedereen kan ineens programmeren", zegt Madhar. "Mensen met weinig technische kennis kunnen codes laten schrijven door ChatGPT. Ze kunnen de chatbot zelfs om uitleg vragen als ze er niet uit komen."

ChatGPT helpt zelfs bij het schrijven van phishingmails. Door mensen in zo'n mail te overtuigen om op een link of bestand te klikken, kunnen aanvallers toegang krijgen tot computers van slachtoffers. De chatbot geeft, als je daar op een slimme manier om vraagt, panklaar een tekst uit naam van een koerierbedrijf. Het enige dat een aanvaller zelf nog moet toevoegen is een stukje schadelijke software, maar ook daarbij kan het programma helpen.

Zo werkt de chatbot mee aan een stappenplan voor het ontwikkelen van schadelijke software. Madhar schreef zelf een script waarmee hij antivirusprogramma's kon omzeilen. "De snelheid waarmee ik dat voor elkaar kreeg is bizar."

ChatGPT blijft in ontwikkeling. Maker OpenAI zegt zelf zijn best te doen ongepaste verzoeken door de chatbot te laten weigeren. "We gebruiken ook technieken om waarschuwingen te plaatsen bij bepaalde soorten onveilige of schadelijke inhoud, maar dat kan af en toe misgaan", zegt het bedrijf.

De blokkades van ChatGPT zijn vrij simpel te omzeilen. En dat die drempel zo laag is, kan op termijn leiden tot veel meer cyberaanvallen, zegt Maasland. Het belangrijkst is volgens hem dat bedrijven en organisaties zich daar tegen wapenen. "Veel bedrijven kijken nog steeds niet om naar beveiligingssoftware of updaten te weinig. Daar valt echt veel winst te behalen."

Maar AI zal niet alleen worden misbruikt door cybercriminelen. De instrumenten kunnen ook worden ingezet om aanvallen te weren. "Vroeger keken we naar specifieke bestandjes als we een virus wilden tegenhouden, nu kijken we naar gedrag", zegt Maasland.

Als een bepaald soort gedrag op een netwerk of computer wordt gezien, weet een AI bijna zeker of daar iets kwalijks gebeurt of niet. "Vergelijk het hiermee: als een persoon met een bivakmuts en een koevoet rond een huis loopt, betekent dat waarschijnlijk dat hij wil inbreken", legt Maasland uit.

Experts benadrukken dat ChatGPT op zich geen kwalijk programma is. Het gaat erom hoe je het gebruikt, zegt ook Rommens. "AI heeft nog geen zelfbewustzijn en moet op een bepaalde manier worden geprogrammeerd om beslissingen te maken en werk uit te voeren. Er zitten in de basis dus nog altijd mensen achter de knoppen die bepalen wat ermee gebeurt."