ChatGPT è stato accusato di molte cose: creare un nuovo modo per gli studenti di copiare, diventare un distruttore di posti di lavoro, generare una fonte a basso costo di testi di scarsa qualità, e, la mia preferita: essere un male pericoloso e sacrilego che minaccia il tessuto morale della società.
Ma le persone fanno, o sono state pagate per fare, tutte queste cose da decenni. OpenAI e gli altri fornitori di intelligenza artificiale generativa rendono il tutto solo più economico. In sostanza, promette di eliminare una grande quantità di lavoro ripetitivo nelle professioni impiegatizie, proprio come telai, catene di montaggio e robot hanno fatto per il lavoro manuale nell'ultimo secolo.
Come qualsiasi strumento o innovazione tecnologica, gli strumenti di intelligenza artificiale generativa possono essere usati sia per grandi benefici sia per grandi danni.
In cosa sono bravi i Large Language Models (LLMs)?
L'utilizzo di ChatGPT, Microsoft Bard e altri strumenti ha reso molto più semplice ricavare informazioni utili dalla previsione… ma gli usi vanno oltre la sola finanza.
I LLM sono persuasivi. Sanno, con precisione matematica, quali combinazioni di parole risultano più convincenti alle persone e sono allenati a restare entro questi confini.
Possiedono una conoscenza vasta di fatti e dettagli.
Sanno riassumere e riformulare testi in qualsiasi stile desideriate.
Non sono, tuttavia, bravi a dire la verità. I computer, noti per il loro fermo rispetto della logica, paradossalmente nelle LLM hanno l’incapacità di distinguere tra verità e finzione e sono perfettamente in grado di inventare bugie per rispondere alle domande, rafforzando poi senza problemi quelle bugie con assoluta sicurezza.
Cosa significa per noi
Non voglio filosofeggiare troppo, ma in questo momento storico stanno succedendo cose.
Sviluppi tecnici, politici ed economici si sono combinati per confondere molti degli indicatori che le persone usano per valutare la credibilità e assegnare la fiducia. Proprio come le foto false sui social hanno disorientato le persone, ora ChatGPT e gli altri LLM fanno parte del mix. Come società, dovremo ancora una volta adattarci, imparando nuovi modi per discernere la verità dalla disinformazione.
Stessa vecchia gente, stessa vecchia storia.
Come funzionano oggi attacchi informatici e truffe di phishing
Al di là della filosofia, la diffusione dei LLM rappresenta una minaccia particolare per le aziende: abbassare il costo degli attacchi di phishing di qualità.
“Ingannare le persone” è la fonte numero uno di perdita concreta in ambito cybersecurity. Mentre il settore si concentra sulle minacce e le soluzioni tecniche, la stragrande maggioranza dei crimini informatici di successo si basa su qualcuno che viene raggirato in qualche fase del processo.
Oggi esiste un’industria fiorente di call center dedicati a frodi e crimini informatici. Hanno fornitori e venditori, procedure e risorse umane, e probabilmente ogni tanto dei retreat aziendali per festeggiare i successi. È un vero e proprio settore.
Alcune parti della filiera della frode sono automatizzate: l’email iniziale alla ricerca di amore o per raccontarvi di una grande opportunità di affari sono modelli riciclati – troverete la stessa email nella casella di posta del vostro vicino, forse modificata nei loro infiniti A/B test per tassi di conversione migliori.
Quando voi o il vostro vicino cliccate o rispondete, qualcuno in quel call center prende il controllo, seguendo procedure e utilizzando competenze affinate negli anni per spostare il “lead” (voi) nella “pipeline di vendita” (truffa) e “chiudere la vendita” (fregarvi) nel modo più efficiente possibile.
Questi dipendenti hanno valutazioni di performance, metriche chiave, sistemi bonus e giorni di malattia. Sono il costo principale di gestione di un call center di phishing. Come in ogni altra attività, aziende e individui più performanti ottengono migliori tassi di conversione e ricavi, e quindi possono permettersi compensi più alti.
C’è una segmentazione naturale che avviene nel “mercato” della frode in base al “rendimento” previsto (quanti soldi si possono truffare) delle vittime:
- Aziende a basso costo e bassa resa di solito inseguono un numero elevato di vittime con basso rendimento. È il corrispettivo fraudolento delle pubblicità Instagram di gadget economici: tenta di raggiungere più persone possibile e magari ottieni qualche vendita.
- Team ad alte prestazioni inseguono bersagli più redditizi e investono di più su ciascuno. Questi sono i grandi clienti B2B del mondo delle frodi; fanno ricerche approfondite e ci mettono i loro migliori commerciali e addetti al servizio clienti.
Non conviene assegnare lead a basso rendimento a team di alto profilo, quindi raramente i bersagli a basso rendimento (cioè io e la maggior parte di voi) ricevono tentativi sofisticati da truffatori esperti.
Come cambieranno le regole i LLM
Rivediamo cosa sappiamo già:
- Gli strumenti di intelligenza artificiale sono bravi a sembrare persuasivi.
- I modelli di intelligenza artificiale sono abili nell’assimilare una grande quantità di informazioni dettagliate da un dataset e generare qualcosa di unico, specifico e plausibile.
- L’AI generativa possiede una padronanza perfetta dell’inglese e una conoscenza enciclopedica di ogni argomento presente su Internet.
- Gli algoritmi di GPT possono essere adattati per scrivere nello stile di qualsiasi fascia demografica.
Inoltre, gli svantaggi dell’AI sono irrilevanti per l’industria delle frodi: la verità non conta. Finché la vittima cade nella trappola, alla direzione non importa quali assurdità sia necessario raccontare.
Un approccio non funziona? Nessun problema, il machine learning non ha orgoglio, cambierà strada senza pensarci due volte (o forse nemmeno una…).
La ciliegina sulla torta? Gli strumenti di AI costano quasi nulla rispetto a un call center pieno di truffatori.
Tempistiche per il Lancio
Purtroppo, il mondo del crimine si muove veloce. Non deve preoccuparsi della reputazione, c’è meno burocrazia e in questo “mercato” la tempestività è fondamentale.
Un prodotto LLM orientato al crimine, WormGPT, è già diventato così popolare da finire sulle news mainstream come chatbot di AI favorevole ai malware. Senza dubbio ne esistono altri e presto la pressione competitiva e la diffusione delle best practice ridurranno i costi operativi tanto da rendere il phishing supportato da LLM il metodo dominante per portare a termine le truffe.
Spendiamo un pensiero al prossimo Associate dell’Operazione Truffa che resterà senza lavoro.
Poiché il settore del phishing subirà questa trasformazione nei prossimi anni, il costo per gestire un’operazione di phishing sofisticata crollerà, portando i “top seller” ormai autonomi e gli altri criminali informatici a puntare a opportunità a basso rendimento. Molti più di noi verranno esposti a una valanga di phishing di alta qualità, con conseguenze per molti che ci cascheranno.
È ora di cambiare i protocolli di autenticazione
A causa delle truffe di phishing e di hacker che violano gli account, molti di noi hanno imparato a prendere con cautela i messaggi ricevuti via email e SMS. Io, come altri esperti, raccomando spesso di usare il telefono per verificare informazioni riservate per attività rischiose come transazioni di alto valore; società di titoli e studi legali utilizzano questa strategia con successo da anni.
Credo che ciò smetterà di funzionare. Chiamate telefoniche credibili generate da un LLM non sono già così lontane. Prodotti già in commercio possono usare campioni vocali per creare audio di chiunque, che dica qualunque cosa. Al momento della stesura di questo articolo, non funziona in tempo reale: serve del tempo per generare ogni clip. Per fortuna, la maggior parte di noi non si farà ingannare da ritardi di cinque o dieci secondi in una conversazione, per quanto la voce del chiamante possa sembrare quella di Johnny Cash.
Ma computer e tecnologia hanno un modo tutto loro di accelerare. Sono certo che il progresso incrementale degli strumenti di generazione vocale AI e la velocità di elaborazione trasformeranno le chiamate supportate da LLM in un servizio a basso costo entro un decennio. Presto perderemo la possibilità di riconoscere una persona dalla sola voce; un’opportunità che i malintenzionati non si lasceranno sfuggire.
Vedere potrebbe non bastare per credere
La sintesi vocale non è l’unico software di impersonificazione in sviluppo; la generazione di video credibili di una persona basati su registrazioni precedenti è già possibile (e in miglioramento). Il video è nettamente più complesso della voce – clip credibili richiedono generalmente ore di lavoro, notevoli competenze e abilità artistiche da parte di un esperto.
Ma proprio come per la sintesi audio, lo sviluppo di una versione automatizzata e in tempo reale è solo questione di anni. Potrebbero volerci un paio di decenni, soprattutto perché sia abbastanza economico da essere accessibile alle bande criminali, ma arriverà.
Prossimi passi per la sicurezza delle organizzazioni
Siete pronti per un mondo dove ogni comunicazione virtuale potrebbe essere falsa? La privacy dei dati è morta? Siamo diretti verso un collasso della civiltà e un ritorno all’età della pietra?
Non proprio.
La matematica in soccorso
Oggi utilizziamo voce, aspetto e modi di fare per identificare qualcuno. In termini di sicurezza informatica, questi fattori autenticano la persona nei nostri confronti; li usiamo per capire se chi parla con noi è realmente chi dice di essere. Dipendiamo da questa strategia senza nemmeno rifletterci e, negli ultimi 7000+ anni, ha funzionato egregiamente.
Questa nuova realtà fatta di LLM e impersonificazione generata dall’AI promette di eliminare tale possibilità. Sarà necessario sostituirla con un altro metodo per autenticare le persone quando comunichiamo online.
Qui c'è speranza: abbiamo altre tecniche che funzionano, solo che non sono ancora popolari. La tecnologia di autenticazione basata sulla matematica sviluppata negli ultimi due decenni non sarà influenzata da questi cambiamenti, ed è già economica e semplice. Molti sistemi già ne dipendono senza che gli utenti se ne accorgano. La perdita del riconoscimento virtuale potrebbe spingere molti verso metodi di autenticazione crittograficamente rigorosi e allontanarli da metodi deboli come una normale telefonata o Zoom.
Dimmi qualcosa di positivo
Nel bene o nel male, la società troverà un suo equilibrio. Fortunatamente, puoi svolgere un ruolo più attivo nel futuro della tua azienda e prevenire che questa minaccia abbia effetti sul tuo business. Non è neanche così difficile.
Per prima cosa, sposta tutte le informazioni sensibili dietro un provider di identità federato e crittograficamente rigoroso. Poi, rendi chiaro nella tua azienda che si deve fare affidamento su quello invece che fermarsi al riconoscimento di una persona tramite stile di scrittura o voce.
E, infine, puoi concentrarti su ciò che sai fare meglio e lasciare che altri, come me, si occupino di informarsi sul resto. Iscriviti alla newsletter di The CFO Club se vuoi essere il primo a sapere quando individuerò la prossima minaccia per la società.
