ChatGPT is nu zeker een half jaar onder ons en inmiddels is meermaals gewaarschuwd voor potentiële risico's. Generatieve taalmodellen als deze kunnen  bijvoorbeeld geloofwaardige misleidende en foutieve teksten genereren en uitmuntende phishing-mails schrijven. Maar ook voor de techindustrie kunnen de taalmodellen naast kansen diverse risico's opleveren, stelden wetenschappers tijdens Dcypher Donderdag op 25 mei aan de Universiteit van Amsterdam, waar ze in gingen op een aantal van die risico's.

De risico's van generatieve taalmodellen zijn in het afgelopen half jaar meermaals duidelijk geworden. Het bekendste voorbeeld bestaat waarschijnlijk uit de talloze studenten  die onder meer ChatGPT gebruiken om bijvoorbeeld essays te schrijven en andere opdrachten te maken.

Ook IT-studenten gebruiken ChatGPT daarvoor, constateert Erik van der Kouwe, assistent professor op het gebied van cybersecurity aan de Vrije Universiteit, donderdag. Zelfs bij geavanceerde onderwerpen kan ChatGPT een uitkomst bieden: "Ik mijn examens al eens ingevoerd en ChatGPT gaf verrassend goede resultaten. Ik geef een aantal geavanceerde lessen, die veel studenten niet voldoende afronden. Maar ChatGPT kreeg het voor elkaar om 50% van de vragen goed te beantwoorden."

Kwetsbare code

Maar dat is niet de enige manier waarop IT-studenten en ook professionele IT'ers dergelijke taalmodellen gebruiken. Sinds het bestaan van GitHub Copilot wordt deze assistent veel gebruikt om programmeercode te schrijven. Copilot is bedoeld om daarbij te ondersteunen, maar diverse mensen laten alle code hierdoor schrijven en controleren deze dan niet per se. "Het is bizar om te zien hoeveel studenten hiermee 'valsspelen'", aldus Van der Kouwe. Hij benadrukt wel dat studenten altijd al manieren vonden om opdrachten niet zelf uit te voeren. "Dan betaalden ze voormalige studenten voor hun oudere werk. En veel studenten kopieerden code van StackOverflow. Dus dit was altijd al een probleem."

Met Copilot ontstaat echter een nieuw probleem, wat ook al wel vaker is aangekaart: de code die ze opleveren is kwetsbaar. En dat gebeurt dus ook bij studenten die cybersecurity studeren. "Er zitten echt onwaarschijnlijke fouten in, zoals bufferoverflow-fouten. Het is heel interessant om te zien dat het code kan schrijven die technisch gezien oké is, maar vol zit met kwetsbaarheden."