Sztuczna inteligencja generatywna błyskawicznie zmienia przestępczość. Fascynującym efektem pojawienia się i umasowienia prostej technologii produkowania obrazów jest to, że w USA i w Kanadzie praktycznie znikły przypadki klasycznego fałszowania dokumentów – ogłosiła w swoim raporcie firma Sumsub, oferująca mechanizmy zabezpieczenia transakcji w internecie.

Dane pochodzą z wewnętrznych statystyk firmy. Obejmują ponad 500 tysięcy przypadków, z 21 branż. Sumsub ma ok. 3% udziału w rynku technologii KYC (Know-Your-Customer), uwierzytelniania transakcji. Nie jest to badanie reprezentatywne dla całego rynku, ale ocena rynku tej konkretnej firmy.

W pierwszym kwartale 2023 nie mieli żadnych zgłoszonych fałszerstw klasycznych a zamiast tego wzrosła liczba przypadków fałszerstw obrazów elektronicznych. Dokumenty są fotografowane i „fotoszopowane” (tak powiedzielibyśmy kiedyś) czyli zdjęcie dokumentu służy wyprodukowaniu sfałszowanego, cyfrowego obrazu dokumentu. Cytuję:

„W Ameryce Północnej ilość deepfejków wzrosła o ponad połowę, porównując rok 2022 z pierwszym kwartałem 2023. Mowa o skoku z 0.2% do 2.6% w USA. Natomiast w Kanadzie wzrost był z 0.1% do 4.6% . Jednocześnie fałszerstwa druku, które w 2022 stanowiły 4%-5% wszystkich oszustw spadły do 0% w ostatnim kwartale.”

Oszuści, oszustki używają dokumentów prawdziwych osób, robią zdjęcie takiego dokumentu i tworzą jego kopię 3D. Coraz częściej, również w Polsce, możemy potwierdzać swoją tożsamość w sieci fotografując/pokazując do kamerki dokument. To z jednej strony bardzo wygodne i oszczędza nam kłopot osobistej wizyty w urzędzie/biurze/firmie. Z drugiej naraża na nowe typy ryzyka i uruchamia lawinę konsekwencji.

Rozwój sztucznej inteligencji sprawia, że łatwiej można łamać zabezpieczenia kiedyś uważane za relatywnie odporne na atak. Techniki biometryczne, czyli uwierzytelnianie za pomocą cech naszego ciała, naszego organizmu – takich jak odciski palców, wzór unaczynienia siatkówki oka, specyficzny tembr głosu, rysy twarzy – są w masowym użyciu z powodu wygody i łatwości użycia.

Można zapomnieć, zgubić, stracić hasło, ale nie można zgubić rysów twarzy albo głosu czy odcisków palców. Problem jednak w tym, że algorytmy sztucznej inteligencji sprawiają, że dziś dużo łatwiej kraść i kopiować cechy organizmu. Przykłady? Klonowanie głosu, klonowanie dokumentów z rysami twarzy. W tej chwili odciski palców czy skan siatkówki wydają się stosunkowo bezpieczne, ale ryzyko istnieje.

W podcaście The Economist Babbage: What if generative AI destroys biometric security? zespół ekspercki stawia tezę, że w miarę upowszechnienia się baz z danymi biometrycznymi coraz częstsze będą wycieki danych z takich baz. Źli ludzie nie będą nie musieli wykradać od nas naszego wzoru siatkówki czy kopiować ze szklanki odciski palców. Oni sobie to wykradną z bazy danych albo kupią na czarnym rynku a potem w odpowiedniej formie dane użyją do włamania czy oszustwa.

Tak się już dzieje. Biometryczne dane tysięcy ludzi w Iraku i Afganistanie, wytworzone i porzucone przez armię amerykańską podczas działań w tych krajach są teraz w posiadaniu talibów, handlarzy danymi albo innych przypadkowych osób. The Economist rozmawiał z niemieckim ekspertem, który na czarnym rynku kupił wiele urządzeń biometrycznych z danymi porzuconymi przez armię amerykańską. W 2019 roku firma VPNMentor ogłosiła wyciek ponad miliona odcisków palców oraz innych danych biometrycznych z bazy Biostar2, o czym donosiło BBC. W Brazylii w 2020 wyciekło 76 tysięcy odcisków palców plus inne dane. To pierwsze z brzegu przykłady wycieków.

Istotą problemu jest to, że o ile zgubione czy przechwycone hasło można zmienić, to raz straconych danych biometrycznych nie da się zmienić. Odciski, głos, rysy twarzy mamy na długo lub na zawsze te same. Co potem? Co w sytuacji, gdy w obiegu znajdą się zapisane odciski oraz inne cechy biometryczne?

Możliwą obroną w sytuacji masowej utraty wiarygodności danych biometrycznych będzie analiza behawioralna. W przypadku dziwnego, nietypowego zachowania będziemy musieli się uwiarygodnić raz jeszcze, czyli bank, urząd będą dużo częściej niż teraz dzwonić z pytaniem, co robimy i czemu. Prawdopodobnie będą dzwonić/pisać do nas czaty GPT. Totalna inwigilacja – powiedzą niektórzy. Ewentualnie na masową skalę wejdą czipy wszczepiane ludziom, które będą nośnikiem naszej unikalnej informacji – klucza dostępu do usług medycznych, urzędowych, finansowych.
I to przypomina teorię spiskową, która mówiła o „czipach 5G w szczepionce od Billa Gatesa”. Czipy, podobne do tych wszczepianych zwierzętom, wydają się wygodnym rozwiązaniem, ale niepozbawionym ryzyka. Wyobraźmy sobie sytuację, gdzie udaje się zhackować taki czip. W zależności od zakresu użycia skutki mogą być albo bardzo kłopotliwe, albo jeszcze bardziej.
W końcu zawsze w odpowiedzi na jedną technologię powstaje druga technologia.