O ChatGPT é um desastre de segurança cibernética? Perguntamos aos especialistas

ChatGPT parece bastante inevitável agora, com histórias maravilhando-se com suas habilidades aparentemente em todos os lugares que você olha. Vimos como ele pode escrever música, renderizar animações 3D e compor música. Se você pode pensar nisso, o ChatGPT provavelmente pode tentar.

E esse é exatamente o problema. Há todo tipo de preocupação na comunidade de tecnologia agora, com os comentaristas frequentemente se preocupando com o fato de que a IA é sobre para levar a um apocalipse de malware com até mesmo os hackers mais experientes criando trojans e ransomware imparáveis.

Mas isso é realmente verdade? Para descobrir, conversei com vários especialistas em segurança cibernética para ver o que eles achavam das habilidades de malware do ChatGPT, se eles estavam preocupados com seu potencial de uso indevido e o que você pode fazer para se proteger neste novo surgimento mundo.

Habilidades questionáveis

Uma das principais atrações do ChatGPT é a capacidade de realizar tarefas complicadas com apenas alguns prompts simples, especialmente no mundo da programação. O medo é que isso diminua as barreiras de entrada para a criação de malware, potencialmente arriscando uma proliferação de criadores de vírus que dependem de ferramentas de IA para fazer o trabalho pesado para eles.

Joshua Long, analista-chefe de segurança da empresa de segurança Intego, ilustra esse ponto. “Como qualquer ferramenta do mundo físico ou virtual, o código de computador pode ser usado para o bem ou para o mal”, explica. “Se você solicitar um código que pode criptografar um arquivo, por exemplo, um bot como o ChatGPT não poderá saber sua real intenção. Se você alegar que precisa de um código de criptografia para proteger seus próprios arquivos, o bot acreditará em você – mesmo que seu objetivo real seja criar ransomware.”

O ChatGPT possui várias proteções para combater esse tipo de coisa, e o truque para os criadores de vírus é contornar essas barreiras. Peça sem rodeios ao ChatGPT para criar um vírus eficaz e ele simplesmente recusará, exigindo que você seja criativo para enganá-lo e fazer com que ele faça o seu lance contra seu melhor julgamento. Considerando o que as pessoas são capazes de fazer com jailbreaks no ChatGPT, a possibilidade de criar malware usando IA parece possível em teoria. Na verdade, já foi demonstrado, então sabemos que é possível.

Mas nem todo mundo está em pânico. Martin Zugec, Diretor de Soluções Técnicas da Bitdefender, acha que os riscos ainda são relativamente pequenos. “A maioria dos criadores de malware novatos provavelmente não possui as habilidades necessárias para contornar esses problemas de segurança. medidas e, portanto, o risco representado pelo malware gerado pelo chatbot permanece relativamente baixo neste momento”, ele diz.

“O malware gerado pelo chatbot tem sido um tópico popular de discussão ultimamente”, continua Zugec, “mas atualmente há nenhuma evidência para sugerir que representa uma ameaça significativa no futuro próximo.” E há uma razão simples para isso. Segundo Zugec, “a qualidade do código de malware produzido por chatbots tende a ser baixa, tornando-o menos opção atraente para criadores de malware experientes que podem encontrar melhores exemplos em código público repositórios”.

Portanto, embora certamente seja possível fazer com que o ChatGPT crie códigos maliciosos, qualquer um que tenha as habilidades necessário para manipular o chatbot AI provavelmente não ficará impressionado com o código ruim que ele cria, Zugec acredita.

Mas, como você pode imaginar, a IA generativa está apenas começando. E para Long, isso significa que os riscos de hacking apresentados pelo ChatGPT ainda não estão definidos.

“É possível que o aumento de bots de IA baseados em LLM possa levar a um aumento pequeno a moderado de novos malwares ou a uma melhoria nos malwares. capacidades e evasão de antivírus”, diz Long, usando um acrônimo para os grandes modelos de linguagem que ferramentas de IA como o ChatGPT usam para construir seus conhecimento. “Neste ponto, porém, não está claro quanto impacto direto ferramentas como ChatGPT estão causando, ou farão, em ameaças de malware do mundo real.”

amigo de um pescador

Se as habilidades de escrita de código do ChatGPT ainda não estiverem prontas, poderia ser uma ameaça de outras maneiras, como escrever campanhas de phishing e engenharia social mais eficazes? Aqui, os analistas concordam que há muito mais potencial para uso indevido.

Para muitas empresas, um possível vetor de ataque são os funcionários da empresa, que podem ser enganados ou manipulados para fornecer acesso inadvertidamente onde não deveriam. Os hackers sabem disso, e houve muitos ataques de engenharia social de alto perfil que se mostraram desastrosos. Por exemplo, acredita-se que o Lazarus Group da Coréia do Norte começou sua Invasão de 2014 nos sistemas da Sony - resultando no vazamento de filmes inéditos e informações pessoais - ao se passar por um recrutador de empregos e fazer com que um funcionário da Sony abra um arquivo infectado.

Essa é uma área em que o ChatGPT pode ajudar drasticamente hackers e phishers a melhorar seu trabalho. Se o inglês não for o idioma nativo de um invasor, por exemplo, eles podem usar um chatbot de IA para escrever um e-mail de phishing convincente para eles, destinado a falantes de inglês. Ou pode ser usado para criar rapidamente um grande número de mensagens convincentes em muito menos tempo do que os agentes de ameaças humanos levariam para fazer a mesma tarefa.

As coisas podem ficar ainda piores quando outras ferramentas de IA são lançadas na mistura. Como Karen Renaud, Merrill Warkentin e George Westerman postularam em Sloan Management Review do MIT, um fraudador pode gerar um script usando o ChatGPT e fazer com que ele seja lido por telefone por uma voz deepfake que se faz passar pelo CEO de uma empresa. Para um funcionário da empresa que recebesse a ligação, a voz soaria – e agiria – exatamente como seu chefe. Se aquela voz pedir ao funcionário para transferir uma quantia em dinheiro para uma nova conta bancária, o funcionário pode cair no ardil devido à deferência que presta ao patrão.

Como diz Long, “os [agentes de ameaças] não precisam mais confiar em suas próprias habilidades (muitas vezes imperfeitas) de inglês para escrever um e-mail fraudulento convincente. Eles também não devem criar suas próprias palavras inteligentes e executá-las no Google Tradutor. Em vez disso, o ChatGPT - totalmente inconsciente do potencial de intenção maliciosa por trás da solicitação - escreverá com prazer todo o texto do e-mail fraudulento em qualquer idioma desejado.

E tudo o que é necessário para que o ChatGPT realmente faça isso é uma sugestão inteligente.

O ChatGPT pode aumentar sua segurança cibernética?

No entanto, nem tudo é ruim. As mesmas características que tornam o ChatGPT uma ferramenta atraente para agentes de ameaças – sua velocidade, sua capacidade de encontrar falhas no código – o tornam um recurso útil para pesquisadores de segurança cibernética e empresas de antivírus.

Long aponta que os pesquisadores já estão usando chatbots de IA para encontrar informações ainda não descobertas (“dia zero”) vulnerabilidades no código, simplesmente fazendo o upload do código e pedindo ao ChatGPT para ver se ele pode identificar qualquer potencial fraquezas. Isso significa que a mesma metodologia que poderia enfraquecer as defesas pode ser usada para fortalecê-las.

E embora a principal atração do ChatGPT para os invasores possa estar em sua capacidade de escrever mensagens de phishing plausíveis, esses mesmos talentos podem ajudar a treinar empresas e usuários sobre o que procurar para evitar golpes eles mesmos. Ele também pode ser usado para fazer engenharia reversa de malware, ajudando pesquisadores e empresas de segurança a desenvolver contramedidas rapidamente.

Por fim, o ChatGPT por si só não é inerentemente bom ou ruim. Como aponta Zugec, “o argumento de que a IA pode facilitar o desenvolvimento de malware pode se aplicar a qualquer outro avanço tecnológico que beneficiou os desenvolvedores, como software de código aberto ou compartilhamento de código plataformas”.

Em outras palavras, enquanto as salvaguardas continuarem melhorando, a ameaça representada até mesmo pela melhores chatbots de IA pode nunca se tornar tão perigoso quanto foi recentemente previsto.

Como se manter seguro

Se você está preocupado com as ameaças representadas pelos chatbots de IA e com o malware que eles podem criar, existem algumas etapas que você pode seguir para se proteger. Zugec diz que é importante adotar uma “abordagem de defesa em várias camadas” que inclui “implementar soluções de segurança de endpoint, manter software e sistemas atualizado, e mantendo-se vigilante contra mensagens ou solicitações suspeitas.”

Long, enquanto isso, recomenda evitar arquivos que você é automaticamente solicitado a instalar ao visitar um site. Quando se trata de atualizar ou baixar um aplicativo, obtenha-o na loja oficial de aplicativos ou no site do fornecedor do software. E seja cauteloso ao clicar nos resultados da pesquisa ou fazer login em um site - os hackers podem simplesmente pagar para colocar seus sites fraudulentos no topo dos resultados da pesquisa e roubar suas informações de login com sites parecidos cuidadosamente elaborados.

O ChatGPT não vai a lugar nenhum, nem o malware que causa tantos danos em todo o mundo. Embora a ameaça da capacidade de codificação do ChatGPT possa ser exagerada por enquanto, sua proficiência na criação de e-mails de phishing pode causar todos os tipos de dores de cabeça. No entanto, é muito possível proteger-se da ameaça que representa e garantir que você não seja vítima. No momento, muita cautela - e um aplicativo antivírus sólido - podem ajudar a manter seus dispositivos sãos e salvos.

Recomendações dos editores

• O Google Bard agora pode falar, mas pode abafar o ChatGPT?
• O tráfego do site ChatGPT caiu pela primeira vez
• Rival do ChatGPT da Apple pode escrever código automaticamente para você
• Advogados de NY multados por usar casos falsos do ChatGPT em resumo legal
• Este navegador da Web integra o ChatGPT de uma maneira nova e fascinante