Modelos de inteligência artificial semelhantes ao ChatGPT estão sendo utilizados pelos chamados "hackers éticos" para identificar erros em códigos de computador. Mas, o modelo pode apresentar uma desvantagem: a identificação de bugs que, na verdade, não existem.
Os hackers fazem este trabalho com o intuito de encontrar possíveis bugs de software e reivindicar recompensas em dinheiro aos interessados — geralmente, valores de milhares de dólares.
Mas, alguns profissionais estão usando as mesmas ferramentas de IA para gerar relatórios de bugs realistas, mas sem sentido, dificultando a identificação entre quais relatórios confiar.
Esquemas como esse têm sido utilizados na segurança cibernética há décadas para encorajar as pessoas a reportar problemas, para que os programadores possam reforçar a segurança, tanto em empresas tecnológicas estabelecidas, como a Microsoft ou a Google, como para software disponível gratuitamente.
Em entrevista ao portal New Scientist, Yang Liu, da Universidade Tecnológica de Nanyang, em Cingapura, contou que desenvolveu diversas ferramentas que usam modelos de linguagem (LLMs), como GPT-4, para encontrar e corrigir falhas de segurança em contratos inteligentes, que são acordos digitais armazenados em blockchains.
Esses contratos estão relacionados a negociações como compras de casas ou acordos sobre como as campanhas de crowdfunding devem gastar os fundos arrecadados e são executados automaticamente de acordo com regras e condições definidas e escritas em código.
Se houver erros ou lacunas neste código, os hackers podem explorá-los para obter o pagamento definido no acordo.
No entanto, a linguagem gerada pelos LLMs também pode apresentar problemas, conforme reportado pelo New Scientist.
Daniel Stenberg, que criou e ajuda a gerenciar o cURL, uma ferramenta usada por milhares de programadores para buscar dados de endereços da web, viu um aumento nos relatórios que inicialmente parecem falhas de segurança genuínas, mas, na verdade, são absurdos, aparentemente gerados pela IA.
“Ainda não vi nenhum [relatório gerado por IA] que realmente identificasse um problema real. São todas alucinações", disse Stenberg ao New Scientist.
Os relatórios levam tempo para serem analisados e não são fáceis de identificar à primeira vista como sendo gerados por uma IA, diz ele. “Não é apenas uma linha simples e única em que o humano diz que algo está errado aqui. Não, você receberá 200 linhas, incluindo diferentes capturas de tela e tudo da IA.”
Qual seria a solução? Especialistas afirmam que uma maneira de contornar isso poderia ser classificar publicamente perfis de hackers que enviam relatórios em plataformas como HackerOne, o que desencorajaria as pessoas de enviar relatórios falsos.