Com certeza em algum momento ouviu falar sobre ChatGPT, a famosa IA (inteligência artificial) criada pela OpenAI, possuindo uma base de mais de 100 milhões de usuários ativos, sendo aplicada nos mais variados segmentos, indo de uma simples redação da escola para o monitoramento ativo dentro de um SOC (Security Operations Center). Digamos que estes dois cenários seriam dois grãos de areia dentro da imensa possibilidade de uso do ChatGPT.
E se esta inteligência artificial fosse utilizada para o cibercrime, afetando de certa forma a cibersegurança de infraestruturas críticas (energia, agua, gás, etc), a privicidade, a democracia, dentre outras áreas de nossas vidas?
A preocupação com o ChatGPT
Muitos modelos de linguagem (Language Models ou simplesmente LLMs) revolucionaram o campo do que chamamos de Natural Language Processing (NLP) ou Processamento de Linguagem Natural, permitindo que os computadores gerassem texto semelhantes aos seres humanos com grande precisão.
No entanto, o potencial voltado ao crime destes LLMs levantou preocupações para as autoridades da lei em todo o mundo. Recentemente, a Europol Innovation Lab organizou workshops para explorar as possibilidades de uso dos LLMs por cibercriminosos e como isso afetaria a aplicação da lei.
As principais conclusões destes workshops foram divulgadas ao público em 27 de março de 2023 em um relatório, que se concentrou principalmente no ChatGPT, devido a sua disponibilidade e popularidade crescente.
Para evitar o uso malicioso de sua IA, a OpenAI implementou vários recursos de segurança, incluindo um endpoint de moderação que avalia as entradas de texto em busca de conteúdo que seja prejudicial e restringe a capacidade do ChatGPT em responder tais questionamentos.
No próprio relatório, é destacado que, apesar destas medidas, os cibercriminosos podem empregar algum tipo de engenharia imediata (ou engenharia de prompt) para contornar as limitações de moderação de conteúdo. A engenharia de prompt é a prática de refinar a maneira como uma pergunta é feita, de forma a influenciar a saída gerada por um sistema de IA. Embora esta engenharia possa maximizar a utilidade das ferramentas de IA, também pode ter o seu uso direcionado a produzir conteúdo nocivo.
Detalhando o bypass das limitações de conteúdo do ChatGPT
Uma das soluções adotadas para contornar as limitações do ChatGPT é a criação do prompt (como mencionado no parágrafo anterior). Isso envolve fornecer uma resposta e pedir à IA para fornecer o prompt correspondente. Outras soluções alternativas incluem pedir uma resposta como um pedaço de código ou fingir ser um personagem fictício discutindo determinado assunto.
Além disso, substituir palavras-chave e alterar o texto logo em seguida, alterar o estilo/opinião e criar exemplo fictícios que podem ser facilmente usados no mundo real são métodos de bypass dos recursos de segurança do ChatGPT.
Outras alternativas mais avançadas e poderosas envolvem o jailbreak do modelo, como o prompt de jailbreak ‘Do Anything Now’ (DAN). Ele foi projetado para contornar as proteções criadas pela OpenAI, levando o ChatGPT a responder qualquer pergunta, mesmo sendo algo potencialmente prejudicial.
Novas versões e mais complexas do DAN são lançadas conforme a OpenAI feche tais brechas.
Embora os golpes online anteriores fossem fáceis de reconhecer devido aos erros de linguagem perceptíveis, os cibercriminosos agora podem usar os modelos de linguagem para gerar textos altamente convincentes para fins ‘não tão glamorosos’.
O ChatGPT para a criação de ferramentas de hacking e afins
Até aqui falamos sobre interagir com o ChatGPT em um nível mais “básico”, mas esta IA pode ser utilizada para muitas finalidades, como a criação de ferramentas de hacking, malware, etc.
Conforme um post publicado em 7 de janeiro de 2023 (Hackers Exploiting OpenAI’s ChatGPT to Deploy Malware) no site do HackRead, a empresa de segurança Check Point divulgou um relatório que contém informações de que hackers estão utilizando o ChatGPT para desenvolver poderosas ferramentas de hacking e chatbots, projetados para imitar o comportamento de garotas, atraindo assim potenciais alvos.
O ChatGPT também pode codificar software malicioso que pode monitorar tudo o que é digitado pelo usuário, além de poder criar ransomware.
Os pesquisadores da Check Point explicaram em sua postagem que cibercriminosos pode criar um e-mail de spear phishing autêntico a um original para executar shell reverso que pode aceitar comandos em inglês.
Em muitos fóruns de hackers foram publicadas informações sobre incidentes em que cibercriminosos usaram a IA para desenvolver ferramentas maliciosas, mesmo que não possuíssem habilidades de desenvolvimento. Em uma das postagens analisadas pela Check Point, um hacker compartilhou um código de malware para Android escrito pelo ChatGPT, que poderia roubar arquivos, compactá-los e vazá-los na Internet.
Outro usuário compartilhou como conseguiu bypassar o ChatGPT, usando-o para criar determinados recursos de código de algum site da Dark Web, como o Silk Road e Alphabay.
Outra ferramenta postada no fórum poderia ser utilizada para instalar uma backdoor em um dispositivo e carregar mais malware no computador comprometido. Da mesma forma, um código em Python compartilhado pelo usuário também seria capaz de criptografar arquivos utilizando a IA da OpenAI, assim como no ransomware.
Conclusão
Creio que pode demorar muito tempo para que a IA atinja certa inteligência ao ponto de não precisar de nenhuma interação humana para criar o que desejarmos. Mas de qualquer modo, se a coisa continuar como está, pode ser que o cenário fique um pouco pior. Não chegaremos a ter uma ‘Skynet’, mas teremos muita dor de cabeça hehe
E respondendo a pergunta do post: “O ChatGPT pode ser um perigo para a cibersegurança?”: com certeza! Qualquer ferramenta sendo de segurança ou não, pode ter o seu uso direcionado para atividades maliciosas. Cabe a quem estiver utilizando-a, usar com ética (ou não). E quando uma ferramenta, como o ChatGPT é usado por milhões de pessoas, acaba iluminando os olhos para possíveis cibercriminosos.
Para descotrair (e também para testar o ChatGPT), pedi um post falando sobre os perigos do ChatGPT para a cibersegurança, veja a resposta:
O texto completo:
O ChatGPT é um aplicativo de bate-papo online que permite aos usuários de todo o mundo se conectarem e conversarem sobre uma variedade de tópicos. Embora seja uma plataforma popular e útil para muitas pessoas, há certos riscos associados ao uso do ChatGPT em relação à cibersegurança.
Uma das maiores preocupações é o risco de hackers e criminosos cibernéticos usarem o ChatGPT como uma ferramenta para roubar informações pessoais e financeiras. Isso pode ser feito através de mensagens phishing, onde um hacker envia uma mensagem com um link malicioso que, quando clicado, instala um malware no computador do usuário e permite ao hacker acessar informações confidenciais, como senhas bancárias.
Além disso, há também a preocupação com a privacidade dos dados dos usuários. O ChatGPT pode coletar informações pessoais, como endereços de e-mail e endereços IP, que podem ser usados para rastrear a atividade online do usuário. Essas informações podem ser vendidas para terceiros ou usadas para fins maliciosos, como o envio de spam ou o roubo de identidade.
Outra preocupação é o risco de assédio e bullying online. Embora o ChatGPT tenha medidas de segurança para proteger seus usuários, os assediadores ainda podem encontrar maneiras de se infiltrar na plataforma e causar danos emocionais a outras pessoas. Isso pode ser especialmente perigoso para crianças e adolescentes, que podem ser alvo de predadores online.
Para evitar esses perigos, é importante que os usuários do ChatGPT tomem medidas de segurança para proteger suas informações pessoais. Isso inclui usar senhas fortes, evitar clicar em links suspeitos e nunca compartilhar informações confidenciais com estranhos online. Os usuários também devem estar cientes de seus direitos de privacidade e usar as configurações de privacidade do ChatGPT para controlar o compartilhamento de suas informações pessoais.
Em conclusão, embora o ChatGPT seja uma plataforma útil e popular para conectar pessoas de todo o mundo, há riscos significativos associados ao seu uso em relação à cibersegurança. Os usuários devem estar cientes desses riscos e tomar medidas para proteger suas informações pessoais e sua privacidade online.
O que achou?
Créditos:
Prompt engineering and jailbreaking: Europol warns of ChatGPT exploitation
OPWNAI : CYBERCRIMINALS STARTING TO USE CHATGPT
Hackers Exploiting OpenAI’s ChatGPT to Deploy Malware
Crédito da imagem usada na capa do post:
Leia mais: