Kup subskrypcję
Kup subskrypcję
Dołącz do grona liderów, którzy chcą więcej
Sprawdzam
Analityka i Business Intelligence

Od ChatGPT do HackGPT: sprostać cybezagrożeniom ze strony generatywnej AI

26 maja 2023 10 min czytania
Karen Renaud
Merrill Warkentin
George Westerman
Odsłuchaj
Od ChatGPT do HackGPT: sprostać cybezagrożeniom ze strony generatywnej AI

Streszczenie: Cyberprzestępcy od lat wykorzystują sztuczną inteligencję do atakowania systemów korporacyjnych, jednak pojawienie się zaawansowanych narzędzi generatywnej AI, takich jak ChatGPT, stawia przed liderami biznesu nowe wyzwania. Przykładowo, hakerzy mogą używać ChatGPT do tworzenia spersonalizowanych wiadomości phishingowych, które skutecznie oszukują nawet dobrze przeszkolonych pracowników. Ponadto, boty AI mogą naśladować głosy przełożonych, nakłaniając pracowników do nieautoryzowanych transakcji finansowych. Generatywna AI umożliwia również tworzenie fałszywych informacji finansowych czy przekonujących, lecz nieprawdziwych korespondencji e-mailowych, które mogą poważnie zaszkodzić reputacji firmy. Aby skutecznie przeciwdziałać tym zagrożeniom, organizacje muszą wdrożyć zarówno zaawansowane technologie obronne, jak i odpowiednie szkolenia dla pracowników, dostosowując swoje strategie bezpieczeństwa do dynamicznie ewoluujących metod ataków opartych na AI.

Pokaż więcej

Nadszedł czas, aby zastąpić tradycyjne podejście do cyberbezpieczeństwa „inteligentniejszą” technologią i szkoleniami.

Już od kilku lat cyberprzestępcy wykorzystują sztuczną inteligencję do włamywania się do systemów korporacyjnych i zakłócania operacji biznesowych. Jednak najnowsze potężne narzędzia generatywnej sztucznej inteligencji, takie jak ChatGPT, stawiają przed liderami biznesu nowe wyzwania.

Rozważ te całkowicie prawdopodobne scenariusze:

  • Haker używa ChatGPT do generowania spersonalizowanej wiadomości typu spear phishing na podstawie materiałów marketingowych twojej firmy i wiadomości phishingowych, które przyniosły skutek w przeszłości. Udaje się oszukać ludzi, mimo że byli oni dobrze przeszkoleni w zakresie świadomości użytkowania poczty e‑mail, ponieważ wiadomość nie wygląda na podejrzaną; taką, w której wykrywaniu zostali przeszkoleni.

  • Bot AI dzwoni do pracownika odpowiedzialnego za rozliczenia i mówi głosem (głęboko fałszywym), który brzmi jak głos szefa. Po wymianie uprzejmości „szef” prosi pracownika o przelanie tysięcy dolarów na konto w celu „opłacenia faktury”. Pracownik wie, że nie powinien tego robić, ale szef ma przecież pełne prawo prosić o wyjątki.

  • Hakerzy wykorzystują sztuczną inteligencję do zafałszowania informacji w systemie, tworząc cenny portfel akcji, który mogą spieniężyć, zanim oszustwo zostanie odkryte.

  • W bardzo przekonującej fałszywej wymianie korespondencji e‑maili, stworzonej przy użyciu generatywnej sztucznej inteligencji, kadra kierownicza firmy stara się uzgodnić, jak zatuszować problemy finansowe. Wiadomość o „wycieku” rozprzestrzenia się jednak w błyskawicznym tempie przy pomocy armii botów mediów społecznościowych, co prowadzi do gwałtownego spadku kursu akcji firmy i trwałego uszczerbku na reputacji.

Mogą one brzmieć zbyt znajomo dla tych, którzy zwracają uwagę na historie o deepfake’ach siejących spustoszenie w mediach społecznościowych lub bolesnych naruszeniach korporacyjnych systemów informatycznych. Natura nowych zagrożeń należy jednak do innej, bardziej przerażającej kategorii, ponieważ technologia leżąca u ich podstaw stała się „inteligentniejsza”.

Do tej pory większość ataków wykorzystywała stosunkowo niewyrafinowane podejścia na dużą skalę. Wyobraź sobie hordę zombie — miliony uporczywych, ale bezmyślnych zagrożeń, które odnoszą sukces tylko wtedy, gdy jeden lub dwa trafią w słaby punkt bariery obronnej. Natomiast najbardziej wyrafinowane zagrożenia — największe kradzieże i oszustwa, o których czasami słyszymy w prasie — to ataki o mniejszej skali, które zwykle wymagają znacznego zaangażowania człowieka, aby były skuteczne. Przypominają raczej działanie włamywaczy, którzy konsekwentnie badają każdy element budynku i jego systemy alarmowe, dopóki nie znajdą sposobu na ominięcie zabezpieczeń. Lub są jak oszuści, którzy potrafią stworzyć historię i kłamać tak przekonująco, że udaje im się przekonać nawet inteligentnych ludzi, aby dali im pieniądze.

Teraz wyobraź sobie, że zombie jednak myślą, a nawet stają się coraz mądrzejsze. Zasilane przez generatywną sztuczną inteligencję stają się włamywaczami, którzy są w stanie rozgryźć projekt twoich systemów bezpieczeństwa i wymyślić sposób ich obejścia. Albo wyobraź sobie oszusta używającego generatywnej sztucznej inteligencji do interakcji z jednym z twoich pracowników, budowania zaufania i oszukiwania go, kiedy już da się nabrać.

Ta nowa era złośliwego oprogramowania opartego na sztucznej inteligencji oznacza, że firmy są bezbronne, bo choć mogą stosować najlepsze praktyki w zakresie cyberbezpieczeństwa, to nie będą one już skuteczne tak jak jeszcze zaledwie kilka miesięcy temu. Dogłębna obrona — strategia polegająca na instalowaniu odpowiednich polityk bezpieczeństwa, wdrażaniu najlepszych narzędzi technicznych do zapobiegania i wykrywania oraz prowadzeniu kampanii uświadamiających, aby upewnić się, że pracownicy znają zasady bezpieczeństwa — już nie wystarczy. Nastała zupełnie inna era.

Wykorzystując kombinacje tekstu, głosu, grafiki i wideo, generatywna AI uwolni nieznane i innowacyjne sposoby hakowania firm.

Wykorzystując kombinacje tekstu, głosu, grafiki i wideo, generatywna AI uwolni nieznane i niepoznane innowacyjne sposoby hakowania. Skutecznej obrony przed tymi zagrożeniami nie da się jeszcze zautomatyzować. Twoja firma będzie musiała opracowywać strategię, która dostosowuje się do zagrożeń generowanych przez sztuczną inteligencję w czasie rzeczywistym. Będzie to wymagało zarówno inteligentniejszych technologii, jak i inteligentniejszych pracowników.

Użyj generatywnej sztucznej inteligencji przeciwko generatywnej sztucznej inteligencji

Najpierw rozważ zabezpieczenia obwodowe. Firmy używają już baz danych złośliwego oprogramowania do wykrywania nowych zagrożeń. Te bazy danych sygnatur złośliwego oprogramowania są stale odświeżane przez dostawców, ale nie są dostosowane do unikalnej sytuacji każdej firmy. Hakerzy używali wcześniej uniwersalnych exploitów (włamań do systemów firmy); teraz będą wykorzystywać sztuczną inteligencję do dostosowywania swoich exploitów do słabych punktów poszczególnych firm. Zwodnicze e‑maile będą próbowały złamać właściwe punkty nacisku; będą również bardzo wiarygodne, ponieważ język oparty na sztucznej inteligencji w nowych atakach phishingowych będzie wykorzystywać informacje publiczne, aby dostosować każdą wiadomość do docelowej firmy. Dlatego zamiast od razu odrzucić wiadomość e‑mail jako podejrzaną, nawet doświadczeni pracownicy są bardziej skłonni sprawdzić wystarczająco dużo szczegółów, chcąc przekonać się, że wiadomość jest uzasadniona.

OpenAI (twórca ChatGPT) i inni tworzą narzędzia takie jak GPTZero i ZeroGPT, które pozwolą firmom wykryć, czy nowo wygenerowany tekst (bez rozpoznawalnego podpisu) został stworzony przez generatywną AI. Poprzez zintegrowanie tych narzędzi z serwerami pocztowymi firmy mogą zwiększyć prawdopodobieństwo zablokowania automatycznych wiadomości phishingowych najnowszej generacji. Narzędzia te powinny być dostosowane do potrzeb każdej firmy i systematycznie dostrajane, aby zachować czujność, podobnie jak człowiek strażnik musi być na bieżąco z najnowszymi zagrożeniami. Z czasem producenci narzędzi bezpieczeństwa wprowadzą te technologie, ale w międzyczasie wiele firm naraża się na ryzyko włamania i poniesienia poważnych strat finansowych oraz utraty reputacji. Dlatego ważne jest, aby rozważyć wprowadzenie wewnętrznych zmian w krótkim czasie, zamiast czekać na gotowe rozwiązania na rynku, aby nadrobić zaległości.

Po drugie, wykrywanie cyberzagrożeń w czasie rzeczywistym musi się szybko poprawić. Wiele firm polega na wykrywaniu wzorców, aby odeprzeć ataki. Problem polega na tym, że wzorce są oparte na atakach, które już miały miejsce. Aby przeciwdziałać atakom napędzanym przez generatywną AI, potrzebna jest nowa era inteligentnego zapobiegania.

Aby przeciwdziałać cyberatakom napędzanym przez generatywną AI, potrzebna jest nowa era inteligentnego zapobiegania.

Generatywna AI ma potencjał, aby poprawić zdolność firm do szybkiego wykrywania anomalii w zachowaniach lub działaniach, przez pracowników lub w dowolnym miejscu w systemach firmowych. Zachowania pracowników — o których świadczy to, do jakich systemów się logują, jak wiele danych udostępniają i z kim komunikują się za pośrednictwem poczty elektronicznej — są zazwyczaj przewidywalne i dopasowane do ich zadań zawodowych. Można o tym myśleć jako o ich śladzie behawioralnym. Jeśli ślad ten ulegnie nagłej zmianie bez zmiany zakresu obowiązków, może to sygnalizować np. potencjalną próbę włamania lub niewłaściwe zachowanie pracownika. Korzystając z generatywnej AI w połączeniu z innymi narzędziami AI, firmy mogą następnie określić zakres szkód lub stwierdzić, że nie doszło do naruszenia. Nowe rozszerzenia i aplikacje zbudowane na fundamencie GPT‑4 zostały już ogłoszone, tym samym można się spodziewać, że nowe narzędzia bezpieczeństwa oparte na AI będą wkrótce dostępne.

Wyszkolenie ludzi do bardziej inteligentnych ataków

Świadome zachowania ludzkie pozostają kluczowe dla cyberbezpieczeństwa, ale ludzie nadal popełniają błędy. Wiele kampanii uświadamiających opisuje istniejące zagrożenia i podaje zestaw zasad, których należy przestrzegać: nie klikaj na linki, pamiętaj o używaniu silnych haseł i łataniu całego oprogramowania — aby wymienić tylko kilka z nich. Liczne coroczne badania branżowe wskazują jednak na pracowników jako najsłabsze ogniwo cyberochrony. Na przykład pracownicy centrów telefonicznych mogą zostać oszukani przez osoby, które posiadają wystarczającą ilość informacji lub stworzą odpowiedni rodzaj emocjonalnego przekazu. Według jednych szacunków aż 82% naruszeń dotyczy zachowań ludzkich.

W erze generatywnej sztucznej inteligencji szkolenie w zakresie świadomości musi zostać zmodyfikowane od zasad nakazujących określone zachowanie do gotowości do działania opartej na wiedzy, która pozwala pracownikom wykrywać nowe zagrożenia. Oznacza to, że pracownicy muszą wiedzieć wystarczająco dużo o hakowaniu, aby przejść od przestrzegania zasad do aktywnej obrony. Wraz z pojawieniem się generatywnych narzędzi AI tradycyjne polityki w zakresie bezpieczeństwa informacji straciły swoją przydatność; podejście oparte na dotychczasowych regułach nie jest już właściwe.

Przykładowo, kierowcy ciężarówek nie mogą zachować bezpieczeństwa jedynie poprzez przestrzeganie przepisów ruchu drogowego; muszą również dostosować się do warunków drogowych, na przykład zachowując większy dystans od innych pojazdów w czasie deszczu lub zwalniając we mgle. Podobnie pracownicy muszą stosować wiedzę sytuacyjną, aby oprzeć się nowym wyzwaniom związanym z bezpieczeństwem cybernetycznym, wynikającym z generatywnej AI. Wymaga to od firm wyjścia poza szkolenie pracowników w zakresie tego, co robić, a czego nie robić. Muszą również pomóc im zrozumieć, jak zachować bezpieczeństwo w bardzo wymagających nowych realiach.

Firmy muszą odejść od dotychczasowej strategii opartej na zgodności z przepisami na rzecz takiej, w której rozwijane są nowe umiejętności pracowników. Może to wymagać szkolenia prowadzonego przez instruktora, osobiście lub online, aby przekazać i rozwinąć wiedzę, która wykracza poza tradycyjne zasady. Obecne, uniwersalne szkolenie, nawet jeśli kończy się quizem sprawdzającym, jest pasywne. Era AI wymaga takich szkoleń, które oswajają pracowników z rzeczywistymi lub potencjalnymi scenariuszami i obejmują dyskusje na żywo dotyczące sposobów reagowania.

Poza grą w obronie poprzez szkolenie świadomości pracowników firmy muszą również podążać za mądrością Sun Tzu, że „obrona to planowanie ataku”. Wyobraź sobie najgorszy scenariusz; pomyśl o tym, co wręcz nie mieści się w głowie. Wykorzystaj modele oparte na sztucznej inteligencji do stawiania hipotez na temat potencjalnych kierunków zagrożeń lub czynników wyzwalających, na które należy zwrócić uwagę. Utwórz jednostkę specjalną ze swoich najlepszych informatyków, a nawet ekspertów z innych firm, aby przeprowadzić burzę mózgów na temat tego, jak hakerzy mogliby potencjalnie przeniknąć przez twoje zabezpieczenia. Następnie znajdź sposoby na poprawę możliwości technicznych i świadomości pracowników w zakresie takich zdarzeń. Jedno z badań wykazało, że firmy odchodzą od tradycyjnego podejścia do cybernetycznych gier wojennych, opartego na zasadzie „czerwona drużyna / niebieska drużyna” (atak/obrona), i zamiast tego przyjmują bardziej zespołowe podejście „purpurowej drużyny”, aby lepiej zrozumieć pojawiające się metody ataków i dowiedzieć się, co działa, a co nie.

Najlepszą obroną przed hakerami napędzanymi przez AI będzie prawdopodobnie obrona oparta na informacjach o AI. Oznacza to nie tylko szybsze i solidniejsze strategie obronne, ale także prawdziwie inteligentne strategie dla twojej technologii i twoich ludzi. Nie pokonasz inteligentnych zombie, stawiając wyższe płoty. Możesz jednak wzbogacić swoją tradycyjną obronę o nowe narzędzia napędzane przez AI, a także przemyśleć swoje tradycyjne metody ochrony i prowadzenia szkoleń. W nowym, niebezpiecznym świecie HackGPT powinieneś zacząć działać już teraz, aby zapewnić bezpieczeństwo swojej firmie.

O autorach
Karen Renaud

informatyk na Uniwersytecie Strathclyde w Glasgow, pracuje nad wszystkimi aspektami bezpieczeństwa i prywatności skoncentrowanymi na człowieku

Merrill Warkentin

ACM Distinguished Scientist, jest W.L. Giles Distinguished Professor oraz Rouse Endowed Professor of Information Systems w College of Business na Mississippi State Universit

George Westerman

Pracownik naukowy MIT Sloan Initiative on the Digital Economy w MIT Sloan School of Management. Jego badania koncentrują się na przywództwie w erze cyfrowej oraz na innowacjach.

Tematy
Analityka i Business Intelligence Cyberbezpieczeństwo Digitalizacja Przełomowe innowacje Strategia IT Sztuczna inteligencja i uczenie maszynowe
Spis treści
  1. Użyj generatywnej sztucznej inteligencji przeciwko generatywnej sztucznej inteligencji
  2. Wyszkolenie ludzi do bardziej inteligentnych ataków

Może Cię zainteresować

skalowanie AI w biznesie
AI SZTUCZNA INTELIGENCJA
Jak Schneider Electric skutecznie skaluje AI w produktach i procesach

Jak przejść od eksperymentów z AI do realnej skali biznesowej? Schneider Electric pokazuje, że kluczem jest koncentracja na wartości, integracja technologii z procesami i odwaga w działaniu mimo niepewności.

Thomas H. Davenport, Randy Bean 17 marca 2026
sukcesja
PRZYWÓDZTWO
Koniec ery założycieli. Jak zaplanować przyszłość rodzinnego imperium

Sukcesja w polskich firmach rodzinnych staje się jednym z największych wyzwań strategicznych najbliższych lat. Założyciele mierzą się z trudnością oddania władzy, a młodsze pokolenie coraz częściej nie chce przejmować biznesu obciążonego „dziedziczeniem udręki”. Jak przeprowadzić zmianę pokoleniową, aby nie zagroziła stabilności firmy?

Magda Maroń, Paulina Kostro 16 marca 2026
Zarządzanie zmianą
Jak dzięki agile 6-krotnie skrócono czas wdrożenia produktów

Przykład Kraft Heinz pokazuje, że największym hamulcem organizacji często nie są ludzie, lecz sposób, w jaki firma podejmuje decyzje, ustala priorytety i rozlicza zespoły. Carolina Wosiack opowiada, jak dzięki zmianie systemu pracy firma skróciła wdrażanie produktów z 36 miesięcy do 6 i zbudowała model, który przełożył się na wymierne wyniki biznesowe.

Kate Isaacs 13 marca 2026
Multimedia
PRZYWÓDZTWO
Lider, który zawsze ma rację, psuje firmę.  Czy Twoje ego też blokuje rozwój?

Silny lider potrafi rozwijać firmę, ale gdy ster przejmuje ego, organizacja zaczyna płacić za to wysoką cenę. W najnowszym podcaście MITSMR Paweł Kubisiak rozmawia z Izabelą Stachurską o tym, jak ego lidera wpływa na decyzje, atmosferę w zespole i gotowość ludzi do mówienia prawdy. To rozmowa o konflikcie, który nie zawsze wybucha głośno — czasem objawia się ciszą, pozorną zgodą i brakiem odwagi. Odcinek pokazuje, gdzie kończy się pewność siebie, a zaczyna styl zarządzania, który osłabia firmę.

Izabela Stachurska 11 marca 2026
work as a stream w organizacji
Transformacja organizacyjna
Jak skalować firmę, zachowując jej twardy rdzeń

Czy firma może rosnąć bez zwiększania liczby etatów? Coraz więcej organizacji odkrywa model work as a stream, w którym praca staje się płynnym strumieniem zadań, a menedżerowie – orkiestratorami kompetencji wewnętrznych i zewnętrznych.

Paulina Kostro 11 marca 2026
Społeczna odpowiedzialność biznesu
Nowa wizja społecznej funkcji przedsiębiorstwa. 7 lekcji od firmy Aboca

Włoska firma farmaceutyczna w wyjątkowy sposób łączy badania naukowe z unikalną kulturą tworząc innowacyjny model organizacyjny zorientowany na przyszłość. Spółka założona ponad czterdzieści lat temu z myślą o poszukiwaniu w naturze rozwiązań dla zdrowia człowieka, skutecznie przekształciła swój początkowy intuicyjny pomysł w strategiczną wizję. Opierając się na przekonaniu, że przedsiębiorstwo pełni funkcję społeczną i powinno wytwarzać nie tylko zyski, ale także wartość dla środowiska, kultury oraz ludzi, Aboca stała się europejskim liderem w produkcji wyrobów medycznych na bazie substancji naturalnych posiadającym oddziały w 24 krajach i zatrudniającym prawie 2000 pracowników.

10 marca 2026
Zarządzanie finansami i ryzykiem
Zysk nie zapłaci faktur ani wynagrodzeń, czyli dlaczego płynność jest ważniejsza niż wynik finansowy

Dodatni wynik finansowy nie gwarantuje stabilności przedsiębiorstwa. Firma może wykazywać zysk, a jednocześnie nie mieć środków na wypłaty czy regulowanie zobowiązań. Kluczowe znaczenie ma płynność finansowa – zdolność do bieżącego zarządzania przepływami pieniężnymi. Zrozumienie różnicy między zyskiem księgowym a realną gotówką pozwala uniknąć jednej z najczęstszych pułapek zarządzania finansami.

Grażyna Sadowska-Malczewska, PKF Polska 10 marca 2026
AI SZTUCZNA INTELIGENCJA
Oscary w cieniu (lub blasku) AI: jak Hollywood testuje sztuczną inteligencję

W minionym tygodniu Netflix  ogłosił przejęcie InterPositive, startupu założonego przez Bena Afflecka,  zajmującego się sztuczną inteligencją. Ta transakcja sugeruje, że w Hollywood umiejętność wykorzystania AI staje się równie ważna co scenariusz. Czy czeka nas „AI tsunami”, czy raczej bolesne zderzenie z oporem odbiorców? Branża rozrywkowa niesie ze sobą lekcje, które warto odrobić przed nadchodzącym rozdaniem Oscarów.

Paweł Kubisiak 10 marca 2026
kompetencje przyszłości AI
AI SZTUCZNA INTELIGENCJA
Czego AI nie zrobi za człowieka? Poznaj 5 kompetencji, które stają się kluczowe

AI wyliczy prawdopodobieństwo sukcesu, ale to człowiek podejmuje ryzyko, by go osiągnąć. Czy w świecie zdominowanym przez algorytmy Twoje umiejętności stają się przeżytkiem, czy kluczowym atutem? Poznaj model EPOCH i dowiedz się, dlaczego w erze AI to „ludzki pierwiastek” stanie się najtwardszą z posiadanych przez liderów kompetencji.

Paulina Kostro 9 marca 2026
GEOPOLITYKA
Czy model biznesowy Dubaju przetrwa konfrontację z irańskimi dronami?

Odwet Iranu na ataki amerykańskie i izraelskie brutalnie narusza fundamenty, na których Zjednoczone Emiraty Arabskie zbudowały swoją potęgę gospodarczą. Dla przedsiębiorców, inwestorów i turystów staje się jasne, że wstrząsy geopolityczne przestały omijać terytoria dotychczas uważane za strefy wolne od ryzyka. Konflikt zbrojny kruszy filary dubajskiego cudu gospodarczego i wymusza rewizję strategii inwestycyjnych w regionie.

Paweł Kubisiak 6 marca 2026
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!