Você pode escrever poesia barroca, compor uma carta aos Três Reis com expressões infantis ou preparar trabalhos universitários convincentes. Ele também é capaz de adivinhar enigmas e até programar. o chatbot ChatGPT é o brinquedo da moda entre os técnicos. Também conseguiu se dirigir ao público em geral graças ao seu manuseio simples: basta fazer perguntas por escrito, como em qualquer chat. Mas esse sistema de inteligência artificial (IA) desenvolvido pela OpenAI, uma empresa cofundada por Elon Musk, vem com novos riscos. Entre eles, ajudar alguém a lançar um ataque cibernético.

Uma equipe de analistas de empresas de segurança cibernética Check Point usou ChatGPT e Codexuma ferramenta similar focada em programação, para desenvolver um ataque completo Phishing sem escrever uma única linha de código. a Phishing É uma das técnicas favoritas dos cibercriminosos Atualmente: consiste em induzir o usuário a clicar intencionalmente em um link que fará o download de malware ou software malicioso em seu computador, o que roubará informações ou dinheiro. a exemplo típico é um e-mail supostamente enviado pelo banco que pede ao usuário para inserir suas credenciais para obtê-los.

Os pesquisadores da Check Point instruíram as ferramentas automatizadas mencionadas a redigir o e-mail fraudulento, observe o código malicioso, que pode ser copiado e colado em um arquivo do Excel para ser enviado como anexo ao e-mail, para que o golpe seja detectado. assim que a vítima baixar o arquivo. então conseguiu estabelecer uma cadeia completa de infecção capaz de acessar remotamente outros computadores, de perguntas feitas a discussões de conversação. Seu objetivo era testar o potencial nocivo do ChatGPT. E eles conseguiram.

“A experiência mostra que com poucos recursos, ataques relativamente complexos podem ser desenvolvidos. Ao fazer as perguntas e perguntas cruzadas certas, sem falar nas palavras-chave que entram em conflito com sua política de conteúdo, você pode conseguir isso”, diz Eusebio Nieva, CTO da Check Point para Espanha e Portugal. “Um atacante profissional, por enquanto, não vai precisar de ChatGPT ou Codex. Mas aquele que não tem conhecimento suficiente ou aprende pode ser útil”, aponta. qualquer pessoa de inteligência mediana que não saiba programar pode lançar um ataque simples com esta ferramenta.

Isso significa que o aplicativo quente do OpenAI deve ser revisado ou censurado? Seria difícil de fazer. “Se você pedir ao ChatGPT para criar uma função que criptografa o conteúdo de um disco rígido, ele o fará. Outra coisa é que você o usa para algo bom, como proteger seus dados, ou algo ruim, como seqüestrar o computador de outra pessoa”, diz Marc Rivero, pesquisador de segurança da Kaspersky. Dependendo do que se pede à ferramenta (por exemplo, escrever um e-mail de phishing usando essa palavra), ela responde que não pode porque é ilegal. Embora muitas vezes essa barreira possa ser contornada fazendo a pergunta em outras palavras, como fez a equipe da Check Point. Considerando o grande impacto da ferramenta OpenAI, os desenvolvedores estão revisando continuamente seus termos e condições. No momento da redação deste relatório, o exercício realizado pela Check Point ainda poderia ser repetido.

ChatGPT é uma variante do modelo de linguagem regressiva GPT-3, o mais avançado do mundo. Ele usa aprendizado profundo, uma técnica de IA, para produzir textos que simulem a forma humana de escrever. Analisa aproximadamente 175 bilhões de parâmetros para decidir qual palavra corresponde estatisticamente melhor às anteriores, seja uma pergunta ou uma afirmação. De onde seus textos parecem ser produzidos por uma pessoa, mesmo que você não saiba se o que fala é bom ou ruimverdadeiro ou falso, real ou irreal.

“O lançamento do ChatGPT reúne dois dos meus maiores medos de segurança cibernética: IA e o potencial de desinformação”, escreveu o vice-presidente e diretor de tecnologia da McAfee, Steve Grobman, em seu blog assim que o chatbot OpenAI se tornou público. “Essas ferramentas de inteligência artificial serão usadas por uma ampla gama de atores mal-intencionados, desde cibercriminosos até aqueles que desejam intoxicar a opinião pública, para que seu trabalho leve a resultados mais realistas”.

Todas as fontes consultadas na preparação deste relatório concordam que ChatGPT não vai revolucionar o setor de cibersegurança. As ameaças nas quais empresas especializadas estão trabalhando são extremamente complexas em comparação com o que o chatbot mais popular do momento é capaz de gerar. Não é tão fácil violar os sistemas de uma empresa ou instituição. Mas isso não significa que não será útil para criminosos cibernéticos.

“Essas ferramentas pode ser usado para criar Exploits [un fragmento de software] que tiram proveito de vulnerabilidades conhecidas até a data em que a OpenIA coletou seus dados de modelo”, disse Josep Albors, diretor de pesquisa e divulgação da ESET Espanha. Na prática, facilita parte da cadeia de infecção usado por cibercriminosos e invasores, “colocando a barreira de entrada para certos ataques mais baixos do que antes e potencialmente trazendo mais agentes mal-intencionados para o jogo”.

neve promete o retorno das ligações cenário criançasjovens com pouco conhecimento de programação que fizeram cenários ataques prontos lançados por diversão ou para testar a si mesmo. A sofisticação da segurança cibernética cuidou de removê-los gradativamente do radar. “Eles estavam desaparecidos há alguns anos, mas é possível que em breve os veremos realizando ataques de baixa complexidade, mas eficazes”, disse o funcionário do Check Point.

Os cibercriminosos qualificados, por outro lado, podem use esses chatbots para realizar pequenas tarefas no longo processo de criação de um ataque cibernético complexo. Por exemplo, criar e-mails atraentes e outros processos tradicionais, como ofuscar automaticamente os sistemas de defesa para lançar o ataque real mais tarde.

O ChatGPT também pode ser útil para quem está do lado bom. As empresas de segurança cibernética trabalham com ferramentas de IA há décadas, mas a OpenAI, que conta com uma enorme quantidade de dados obtidos da Internet, oferece uma nova perspectiva. “Pode ser uma ferramenta de treinamento muito boa para entender as técnicas de exploração usadas por muitos criminosos e projetar medidas defensivas para eles”, diz Albors.

O PAÍS