O ChatGPT está virando ferramenta na mão do cibercrime
Após evento surpreendente em Miami, especialista explica como o ChatGPT pode ser uma ferramenta para os cibercriminosos
Desde que o ChatGPT tomou conta das rodas de conversa, quem trabalha com segurança cibernética tem sido questionado sobre os riscos da aplicação de inteligência artificial desenvolvida pela OpenAI. A preocupação é especialmente mais expressiva depois que a equipe vencedora da maratona tecnológica realizada em Miami, em março último, admitiu ter usado o ChatGPT para desenvolver um ataque de execução remota de código.
Mas, calma, vamos explicar isso melhor! O bot de Inteligência Artificial (IA) não ganhou sozinho a competição, muito menos encontrou a vulnerabilidade ou escreveu um código para explorar uma falha específica. A abordagem dos pesquisadores demonstrou que a ferramenta pode complementar o know-how dos hackers, ou seja, ser um assistente útil para quando este se deparar com um pedaço de código com o qual não está familiarizado ou com uma defesa inesperada.
Uma competição para invadir a Internet das Coisas
No evento de três dias, conhecido como Pwn2Own, os competidores tinham que interromper, invadir e assumir a Internet das Coisas e os sistemas industriais, localizando vulnerabilidades. Após mapear um bug num aplicativo de código aberto utilizado na comunicação máquina a máquina, a dupla de pesquisadores recorreu ao ChatGPT para acelerar o trabalho de codificação.
Entretanto, a equipe admitiu que foi necessário fornecer informações à IA e realizar algumas rodadas de correções e alterações "menores" até chegar a um módulo de servidor de back-end viável. Ou seja, foi preciso fazer as perguntas certas e ignorar as respostas erradas.
Isso demonstra que diferentemente de um buscador “padrão” da internet, o ChatGPT tem a capacidade não só de trazer respostas a algumas perguntas, mas também de criar e solucionar problemas. Ao executar uma tarefa que a pessoa não está tão familiarizada, a ferramenta consegue preencher as lacunas de conhecimento, automatizando e agilizando os processos.
Filtros para impedir a criação de ransomwares
Vale destacar que o usuário precisa conduzir o bot, já que a ferramenta possui filtros que a impede de criar coisas potencialmente maliciosas, como um ransomware, por exemplo. Desta forma, ela não é uma ameaça por si só, mas bem orientada pode juntar os pontos, criando um script específico que será utilizado em uma fase do ataque na qual o criminoso não tinha domínio pleno da linguagem de programação.
Acredito que o ChatGPT é o início do acesso do Machine Learning e da Inteligência Artificial a uma parte maior da população. O acesso a esse tipo de tecnologia que sempre foi mais fechado e com fins específicos agora está cada vez mais presente no nosso dia a dia, embarcada em smartphones, assistentes de voz, smart TVs e carros, entre outros objetos.
Mas pela sua grande capacidade de absorver conhecimento e por ser facilmente treinada pode se tornar um primeiro passo para algo mais. Temos que acompanhar de perto as aplicações da ferramenta de IA. O ChatGPT de hoje ainda é muito imprevisível e suscetível a erros para ser uma arma confiável para o cibercrime. Mas certamente será agregada ao arsenal de ameaças de segurança.
A colaboração humano/inteligência artificial está ganhando impulso e os líderes precisam estar atentos a evolução dessas tecnologias. Mais do que nunca é preciso entender a importância de ter visibilidade da superfície de ataque das empresas e adotar um plano estratégico contra as velhas e novas ameaças.
(*) Flávio Silva é gerente e especialista de Segurança da Informação da Trend Micro Brasil.