Thought Leadership
Was kann ChatGPT in Kontext von Cybersecurity – und im Speziellen im Bereich Bug Bounty – leisten, und was nicht? Dieser Frage geht Phil Leatham, Senior Account Executive für YesWeHack Deutschland, in diesem Statement nach.
Statement zu ChatGPT im Bug-Bounty-Kontext von Phil Leatham
“ChatGPT beeindruckt derzeit Nutzer:innen auf der ganzen Welt mit seiner Fähigkeit, Fragen zu beantworten und Texte aller Art zu generieren. Für eine Vielzahl von Berufen wird das Werkzeug zu einem wertvollen Assistenten bei ihren täglichen Aufgaben werden – das schließt auch den Bereich Cybersicherheit im Allgemeinen und Bug Bounty im Besonderen ein. Allerdings fehlt oft das Verständnis dafür, wie stark der Output von künstlicher Intelligenz von dem Input abhängt, den das System erhält – das fängt an bei der gestellten Frage und geht bis zu den Daten, mit denen die KI trainiert wird.
ChatGPT ersetzt keinen Cybersicherheitsexperten.
Tatsächlich kann mit Hilfe von ChatGPT Code analysiert werden und es ist somit auch möglich, Schwachstellen in IT-Landschaften aufdecken. Voraussetzung ist, dass die richtigen Fragen gestellt werden und der richtige Kontext gegeben ist. Auf diese Weise kann das Werkzeug Experten helfen, unterstützen und begleiten, damit sie neue oder komplexe Situationen und Probleme besser verstehen können. Es ist jedoch selbst kein Cybersecurity-Experte und kann daher nicht die Systeme und die IT-Infrastruktur eines Unternehmens prüfen und Schwachstellen aufzeigen.
ChatGPT kann keine Schwachstellen bewerten.
Es liegt nahe, dass Sicherheitsforscher und Manager von Bug-Bounty-Programmen mit Hilfe von ChatGPT ihre Arbeit vereinfachen wollen. Beispielsweise könnte ein ethischer Hacker das Tool beauftragen: ‚Schreibe mir einen Bug-Bounty-Bericht für die SQL-Injection, die ich auf dieser Website hier entdeckt habe.‘ Oder der Programm-Manager fordert auf: ‚Erkläre mir die Sicherheitslücke, für die ich gerade den Bericht erhalten habe, und erläutere, warum sie kritisch ist.‘ ChatGPT kann durchaus sinnvolle Inhalte verfassen, die alle Schlüsselwörter im Zusammenhang mit der Frage enthalten, doch die Antworten werden in der Regel einfach und oberflächlich ausfallen. Wir dürfen nicht vergessen, dass es in den meisten Fällen auf die Expertise und den Kontext zu einem Thema ankommt – und nicht auf die verwendeten Formulierungen.
Plus: Besonders im Bereich Cybersicherheit sind Datenschutz und Vertraulichkeit von zentraler Bedeutung. ChatGPT ist keine Plattform, um diese beiden Aspekte zu gewährleisten. Erst kürzlich hat beispielsweise Amazon seine Mitarbeiter davor gewarnt, vertrauliche Informationen auf ChatGPT zu teilen.
Die Antworten von ChatGPT sind nicht immer richtig.
Das System wurde mit Daten trainiert, die bis zum Jahr 2021 verfügbar waren. Daher fehlen ChatGPT nicht nur aktuelle Informationen, sondern auch der Kontext einer individuellen Situation oder Schwachstelle. Es kennt weder den Ausführungskontext einer Schwachstelle noch die anfällige Anwendung, geschweige denn die tatsächlichen Auswirkungen auf die Systeme und das Geschäft eines Unternehmens. Sobald der Kontext fehlt oder die Frage mehrdeutig ist, sind die Antworten von ChatGPT in der Regel falsch – auch wenn sie sich sehr gut lesen und richtig klingen.”
