[English]Heute noch eine unglaubliche Geschichte, die mir von einem Sicherheitsexperten zugespielt wurde. Jemand hat versucht, mittels ChatGPT Code für eine Anwendung erstellen zu lassen, die auch Kryptogelder transferieren können soll. Dabei wurde Schadcode eingebaut, der dafür sorgte, dass das Opfer 2.500 US-Dollar an eine Betrugsseite verlor. Das Konto des Betrügers soll inzwischen 75.000 US-Dollar aufgewiesen haben.
Anzeige
ChatGPT kann Code generieren …
Die AI-Anwendung ChatGPT – entweder von OpenAI oder von Microsoft kann auch zur Code-Erzeugung verwendet werden. Es gibt Leute, die darauf schwören und sich der Hoffnung hingeben, die Produktivität stark zu erhöhen. Ich habe inzwischen einige Artikel gelesen, die das Ganze kritischer sehen. Schlechtere Code-Qualität, unklarer Code, der in Anwendungen einfließt, das Problem der Copyright-Verletzung und so weiter. Irgendwie nichts, was die Marketing-Strategen, die das Blaue vom Himmel versprechen, hören wollen.
ChatGPT-Software-Entwicklung geht schief
Mir ist die nachfolgend aufbereitete Episode in einem Tweet auf X zugespielt worden. Gi7worm versorgt mich häufiger mit Security-Insights oder Funden aus dem Darknet.
Der Text besagt nur, dass man vorsichtig mit dem, was einem die ChatGPT-App von OpenAI liefert, sein soll. Ein Opfer habe beim Versuch, eine Software zur Handhabung von Kyptogeld mit Hilfe von ChatGPT zu entwickeln, 2.500 US-Dollar verloren. Der von ChatGPT erstellte Code enthielt den Vorschlag, eine API zu nutzen, die zu einer Betrugsseite gehört. Die Wallet des Scammers enthielt wohl zwischenzeitlich bereits bis zu 75.000 US-Dollar.
Anzeige
Die Bump-Bot-Entwicklung
Das Opfer schreibt, dass er versucht habe, einen Bump-Bot zu schreiben. Ein Bump-Bot ist eine Software, um eigene Angebote, z.B. auf Discord bekannt zu machen und Follower zu generieren. Um sich das Leben einfacher zu machen, oder mangels Wissen, hoffte der Betreffende, mit ChatGPT zum Ziel zu gelangen.
Der Ansatz des späteren Opfers, ChatGPT zur Code-Erstellung um Hilfe zu bitten, sah zuerst auch gut aus. Der Betreffende gibt an, dass er von ChatGPT um Hilfe bei der Erstellung des Codes gebeten und das Gewünschte erhalten habe. Er habe aber nicht erwartet, dass chatGPT ihm "betrügerischen Code" unterjubeln würde. Hier der von ChatGPT 4.0 vorgeschlagene python-Code.
Es wird eine API im Code eingebunden, um Solana-Kryptogeld zu handhaben. Solana ist ein öffentliches Blockchainprojekt, welches als Sol bezeichnetes Kryptogeld verwendet. Laut Wikipedia wird Solana als Alternative zu Etherum gehandelt und hat eine Marktkapitalisierung von 38 Milliarden US-Dollar. Nachfolgend zeigt das Opfer noch die Informationen, die es zur Absicherung und Implementierung erhalten hat.
Mir ist unklar, ob das Opfer das Ziel hatte, mit seinem Bump-Bot auch Solana-Kryptogeld zu verdienen bzw. zu handeln. Obiges Code-Schnipsel zeigt aber, dass eine Solana-API eingebunden wird, die auf die pump[.]fun verweist.
Ich habe die Seite mal aufgerufen (siehe obiger Screenshot). Die Seite zeigt einen Kurs der Währung an und ermöglicht Gelder zu handeln. Beim ersten Aufruf waren 70.000 US-Dollar aufgelistet, es sollen aber auch schon höhere Beträge dort angezeigt worden sein.
Das Opfer gibt an, am Ende des Tages 2.500 US-Dollar (wohl aus der eigenen Crypto-Wallet) an die Betrugsseite verloren zu haben.
Ich habe wenig Ahnung von Crypto-Währungen, aber da laufen die irresten Geschichten. Gerade auf Golem den Artikel Kind bringt Krypto-Anleger mehrfach um ihr Geld gelesen. Ein 13 jähriger hat Crypto-Anleger um ähnliche Summen wie oben erleichtert, indem er Fantasie-Crypto-Währungen erfunden und dann eine Handelsbörse aufgesetzt hat. Die Leute scheinen in diesem Bereich verrückt vor Gier zu sein.
Anzeige
Crypto Scam = Gier schlägt Hirn und damit alles wohl verdient was abgezockt wird!
Warum sollte ChatGPT in einem reinen BumpBot eine Krypro API einbinden? Das ergibt im Kontext null Sinn. Der Anwender wird also konkret nach einer solch gelagerten Schnittstelle oder Funktion gefragt haben.
Meiner Erfahrung nach gibt ChatGPT auch immer zuerst nur Platzhalter vor, mit dem Hinweis das man seine Daten ergänzen muss. Außer man gibt schon von Anfang an wirklich konkreten Daten an, diese trägt ChatGPT dann auch sofort ein. Oder man fragt nach Varianten und sagt ChatGPT dann, trage Variante 1 ein. Wenn man nicht mit etwas Hirn die Variante vorher prüft, bevor man Sie übernimmt, ist man selber Schuld.
Der Screenshot mit dem Code ist nur das Ergebnis, aber ohne den wirklichen Verlauf der Fragen und Vorgaben kein Beleg dafür das ChatGPT was falsch gemacht hat. Am Ende führt ChatGPT auch kein Code aus, das macht der Anwender.
Supplychain-Attacke. ChatGPT hat irgendwo einen ansonsten passenden Codeschipsel aufgegriffen und benutzt, der entsprechende Funktionen benötigt und per nuget oder so nachlädt.
Das ist eben der unkritische Glaube an die KI. Letztendlich spart man mit KI keine Millisekunde Zeit, weil man die Ergebnisse immer erst Zeile für Zeile Wort für Wort gegenprüfen muss.
Man spart schon Zeit, sofern man es bei einfachen Aufgaben belässt die man mit einem kurzen Blick schnell nachvollziehen kann.
Wer allerdings ChatGPT für Programmierung von komplexen Aufgaben nutzt, sollte auch in der Lage sein den Code und die Programmiersprache zumindestens in den Grundzügen zu verstehen.
Man muss sich halt klar vor Augen halten, ChatGPT gibt nur Wissen weiter was antrainiert wurde. ChatGPT würde niemals eine neue Programmiertechnik erfinden. Insofern ist ChatGPT immer darauf angewiesen das der Mensch neue Ideen einbringt, wenn aber alle Menschen nur noch ChatGPT nutzen, kann ChatGPT nichts neues lernen und bleibt technisch gesehen stehen.
ChatGPT ist Müll. Nicht mehr und nicht weniger. Es fügt nach Wahrscheinlichkeiten von Nähe/Ähnlichkeiten von Text zueinander Code zusammen, ohne Sinn und Verstand. Punkt.
Ich sehe da den Betrug nicht?
Hat chatGPT hat da nicht einfach (ähnlich den anwaltlichen Schriftsätze mit halluzinierten Urteilen in den USA) irgendwas aus Fragmenten zusammengebastelt? Wie wollte man als Aussenstehender oder Operator da eingreifen, um eigenen Code "in betrügerischer Absicht" in der Ausgabe unterzubringen*?
* frage für einen Freund ;)
Na in dem du dein API weiträumig sprayst so das die "Scheiß auf Copyright KI" die auch sicher abgreift und dann nach ner Weile die "Schadware" integrierst… So machen es die phösen Jungs ja auch in den Appstores… zuerst was harmloses einstellen und nach dem das geprüft und sich verbreitet hat kommt das phöse Upgrade.
Ist aber ja eigentlich egal nen Programmierer der einfach so ungeprüft fremde API/Code einbindet gehört geterrt und gefedert.
Die richtige Überschrift wäre gewesen "Dummheit frisst Hirn und Geld seines Nutzers"
;-P
Sollte doch unter Proggern in 2024 bekannt sein das, man genau prüft was man per externe API/ fremden Code einbindet. Ach halt ich vergaß diese Klicki-App- Schuster sind ja kein richtigen Programmierer ;-P
Ich lese es insb. als erneute Warnung, keine Befehlszeilen/Scripte aus dem Internet (da insb. aus Foren, Stackoverflow, …) auszuführen, die man nicht verstanden hat.