ChatGPT pode criar malwares indetectáveis, descobre Forcepoint

A Forcepoint, provedora global de cibersegurança, divulgou um alerta referente ao ChatGPT, Inteligência Artificial generativa da OpenAI que se popularizou pela capacidade de gerar respostas humanizadas para comandos e pedidos: a ferramenta é capaz de produzir malwares indetectáveis. A técnica é feita utilizando a esteganografia, que “camufla” arquivos menores (não necessariamente maliciosos) dentro de maiores.

A descoberta foi feita pelo pesquisador da Forcepoint Aaron Mulgrew. Inicialmente, ele solicitou à IA que redigisse linhas de malware, o que foi recusado, respeitando uma norma da ferramenta de não executar atividades ilegais, como a criação de um vírus.

Mulgrew decidiu então utilizar outra estratégia: começou a dar comandos para efetuar pequenas etapas do processo de criação de um malware para o ChatGPT. E foi dessa maneira que, de pouco em pouco, a tecnologia foi criando com simples comandos, um vírus indetectável.

O primeiro passo foi fazer com que a Inteligência Artificial gerasse um código que achasse no disco local imagens maiores que 5 MB. Depois, pediu para que a inteligência gerasse outro código para que ele colocasse dentro dessas imagens arquivos menores que 1 MB. Luiz Faro, diretor de Engenharia de Sistemas da Forcepoint na América Latina, explica o método: “a IA involuntariamente se utiliza da esteganografia para montar o sistema do malware. A técnica consiste em esconder arquivos dentro de outros, de forma ofuscada, camuflando os dados possivelmente confidenciais, dentro das imagens, e fazendo upload dessas imagens para um Google Drive público.”

Para checar a eficiência do malware criado, a Forcepoint realizou testes em serviços que analisam URLs e arquivos para identificar possíveis ataques. Nessa primeira tentativa, 69 engines de anti-malware diferentes detectaram que o arquivo era de fato malicioso. Já na versão seguinte, não houve nenhuma detecção, assim criando um vírus não detectado com apenas comandos do ChatGPT.

Faro alerta para a gravidade da descoberta. “O fato de que é relativamente simples subverter a IA e fazer com que ela própria programe o malware mostra que, para novos cibercriminosos, não é necessário saber codificar, apenas conhecer o processo, que a ferramenta fará o restante. Esse ‘exército’ passa a ter pessoas que não tem o menor conhecimento em programação, e que sequer precisam”, salientou.

Serviço
www.forcepoint.com