Você pode escrever poesia barroca, compor uma carta aos Três Reis Magos com expressões infantis ou preparar trabalhos universitários convincentes. Ele também é capaz de adivinhar enigmas e até mesmo programar. O chatbot ChatGPT é o brinquedo quente entre técnicos. Também se conectou com o público em geral graças ao seu fácil manuseio: basta fazer perguntas por escrito, como em qualquer chat. Mas é…

Você pode escrever poesia barroca, compor uma carta aos Três Reis Magos com expressões infantis ou preparar trabalhos universitários convincentes. Ele também é capaz de adivinhar enigmas e até mesmo programar. O chatbot ChatGPT é o brinquedo quente entre técnicos. Também se conectou com o público em geral graças ao seu fácil manuseio: basta fazer perguntas por escrito, como em qualquer chat. Mas esse sistema de inteligência artificial (IA) desenvolvido pela OpenAI, empresa cofundada por Elon Musk, traz consigo novos riscos. Entre eles, ajudar qualquer pessoa a lançar um ataque cibernético.

Uma equipe de analistas da empresa de segurança cibernética Check Point usou o ChatGPT e o Codex, uma ferramenta semelhante com foco em programação, para desenvolver um ataque completo de phishing sem escrever uma única linha de código. Ele phishing é uma das técnicas preferidas dos cibercriminosos atualmente: consiste em induzir o usuário a clicar voluntariamente em um link que fará o download do malware, ou software malicioso, que roubará informações ou dinheiro. O exemplo típico é um e-mail supostamente enviado pelo banco que pede ao usuário para inserir suas credenciais para obtê-las.

Os pesquisadores da Check Point pediram às ferramentas automatizadas mencionadas acima para redigir o e-mail fraudulento, escrever o código do malware e que poderia ser copiado e colado em um arquivo do Excel para ser enviado como anexo de e-mail, para que a armadilha seja executada assim que a vítima baixar o arquivo. Assim, eles conseguiram estabelecer uma cadeia de infecção completa capaz de obter acesso remoto a outros computadores, tudo a partir de perguntas feitas em bate-papos. Seu objetivo era testar o potencial nocivo do ChatGPT. E eles conseguiram.

“O experimento mostra que ataques relativamente complexos podem ser desenvolvidos com poucos recursos. Fazendo as perguntas e as perguntas cruzadas certas, sem mencionar palavras-chave que conflitem com sua política de conteúdo, isso pode ser alcançado”, explica Eusebio Nieva, diretor técnico da Check Point para Espanha e Portugal. “Um atacante profissional, por enquanto, não vai precisar de ChatGPT ou Codex. Mas quem não tem conhecimento suficiente ou está aprendendo, pode dar jeito”, sublinha. Em sua opinião, qualquer pessoa moderadamente inteligente que não saiba programar poderia lançar um ataque simples com esta ferramenta.

Isso significa que o aplicativo quente do OpenAI deve ser revisado ou censurado? Seria difícil fazer. “Se você pedir ao ChatGPT para criar uma função que criptografa o conteúdo de um disco rígido, ele o fará. Outra coisa é que você o usa para algo bom, como proteger seus dados, ou algo ruim, como seqüestrar o computador de outra pessoa”, diz Marc Rivero, pesquisador de segurança da Kaspersky. Dependendo do que a ferramenta é solicitada a fazer (por exemplo, para escrever um phishing usando essa palavra), ela responde que não pode fazer isso porque é ilegal. Embora muitas vezes essa barreira possa ser contornada colocando a questão em outros termos, como fez a equipe da Check Point. Dado o grande impacto que a ferramenta OpenAI está tendo, os desenvolvedores revisam continuamente seus termos e condições. No momento da redação deste relatório, o exercício realizado pela Check Point ainda poderia ser repetido.

O ChatGPT é uma variação do modelo de linguagem retrógrada GPT-3, o mais avançado do mundo. Usar aprendizagem profunda (aprendizado profundo), uma técnica de IA, para produzir textos que simulam a escrita humana. Ele analisa cerca de 175.000 milhões de parâmetros para decidir qual palavra corresponde estatisticamente melhor às que a precedem, seja uma pergunta ou uma afirmação. Assim, seus textos parecem ser produzidos por uma pessoa, mesmo que ela não saiba se o que diz é bom ou ruim, verdadeiro ou falso, real ou irreal.

“O lançamento do ChatGPT reúne dois dos meus maiores medos em segurança cibernética: IA e o potencial de desinformação”, escreveu Steve Grobman, vice-presidente e diretor de tecnologia da McAfee, em seu blog assim que o chatbot OpenAI se tornou público. “Essas ferramentas de IA serão usadas por uma ampla gama de atores malignos, desde cibercriminosos até aqueles que querem intoxicar a opinião pública, para que seu trabalho alcance resultados mais realistas.”

Todas as fontes consultadas para a elaboração deste relatório concordam que o ChatGPT não vai revolucionar o setor da cibersegurança. As ameaças que as empresas especializadas trabalham são extremamente complexas em comparação com o que o chatbot mais popular do momento é capaz de gerar. Não é tão fácil hackear os sistemas de uma empresa ou instituição. Mas isso não significa que não será útil para cibercriminosos.

“Essas ferramentas podem ser usadas para criar façanhas [un fragmento de software] que aproveitem as vulnerabilidades conhecidas até a data em que OpenIA coletou os dados de seu modelo”, arrisca Josep Albors, diretor de Pesquisa e Sensibilização da ESET Espanha. Na prática, facilita uma parte da cadeia de infecção que os cibercriminosos e invasores usam, “colocando a barreira de entrada para alguns ataques mais baixos do que antes e possivelmente trazendo mais agentes mal-intencionados para o jogo”.

Nieva prevê o retorno dos atendimentos crianças do roteiroas crianças sem muito conhecimento de programação que tiraram scripts ataques prontos e lançados para se divertir ou para se testar. A sofisticação da cibersegurança foi responsável por removê-los gradativamente do radar. “Eles foram dados como desaparecidos há alguns anos, mas é possível que em breve os veremos realizando ataques não muito complexos, mas eficazes”, diz o gerente do Check Point.

Cibercriminosos experientes, por sua vez, podem recorrer a esses chatbots para realizar pequenas tarefas no longo processo de criação de um ataque cibernético complexo. Por exemplo, escrever e-mails convincentes e outros processos tradicionais, como ofuscar automaticamente os sistemas de defesa para depois lançar o ataque real.

O ChatGPT também pode ser útil para quem está do lado dos mocinhos. As empresas de segurança cibernética trabalham com ferramentas de IA há décadas, mas a OpenAI, que conta com uma enorme quantidade de dados obtidos da Internet, oferece uma nova perspectiva. “Ele pode servir como uma ferramenta de treinamento muito boa para entender as técnicas de exploração usadas por muitos criminosos e projetar medidas defensivas para eles”, diz Albors.

você pode seguir A TECNOLOGIA DO PAÍS em Facebook e Twitter ou cadastre-se aqui para receber nossos boletim semanal.