ChatGPT parece bastante inevitável agora, com histórias maravilhadas com suas habilidades aparentemente em todos os lugares que você olha. Vimos como ele pode escrever música, renderizar animações 3D e compor música. Se você pode pensar nisso, o ChatGPT provavelmente pode tentar.
E esse é exatamente o problema. Há todo tipo de preocupação na comunidade de tecnologia no momento, com os comentaristas frequentemente preocupados com o fato de a IA estar prestes a levar a um apocalipse de malware, mesmo com os hackers mais espertos criando cavalos de Troia e ransomware imparáveis.
Mas isso é realmente verdade? Para descobrir, conversei com vários especialistas em segurança cibernética para ver o que eles achavam das habilidades de malware do ChatGPT, se eles estavam preocupados com seu potencial de uso indevido e o que você pode fazer para se proteger neste novo mundo nascente.
Habilidades questionáveis
Uma das principais atrações do ChatGPT é a capacidade de realizar tarefas complicadas com apenas alguns prompts simples, especialmente no mundo da programação. O medo é que isso diminua as barreiras de entrada para a criação de malware, potencialmente arriscando uma proliferação de criadores de vírus que dependem de ferramentas de IA para fazer o trabalho pesado para eles.
Joshua Long, analista-chefe de segurança da empresa de segurança Intego, ilustra esse ponto. “Como qualquer ferramenta do mundo físico ou virtual, o código de computador pode ser usado para o bem ou para o mal”, explica. “Se você solicitar um código que possa criptografar um arquivo, por exemplo, um bot como o ChatGPT não poderá saber sua real intenção. Se você alegar que precisa de um código de criptografia para proteger seus próprios arquivos, o bot acreditará em você – mesmo que seu objetivo real seja criar ransomware.”
O ChatGPT possui várias proteções para combater esse tipo de coisa, e o truque para os criadores de vírus é contornar essas barreiras. Peça sem rodeios ao ChatGPT para criar um vírus eficaz e ele simplesmente recusará, exigindo que você seja criativo para enganá-lo e fazer com que ele faça o seu lance contra seu melhor julgamento. Considerando o que as pessoas podem fazer com jailbreaks no ChatGPT, a possibilidade de criar malware usando IA parece possível em teoria. Na verdade, já foi demonstrado, então sabemos que é possível.
Mas nem todo mundo está em pânico. Martin Zugec, Diretor de Soluções Técnicas da Bitdefender, acha que os riscos ainda são relativamente pequenos. “A maioria dos criadores de malware iniciantes provavelmente não possui as habilidades necessárias para contornar essas medidas de segurança e, portanto, o risco representado pelo malware gerado pelo chatbot permanece relativamente baixo no momento”, diz ele.
“O malware gerado pelo chatbot tem sido um tópico popular de discussão ultimamente”, continua Zugec, “mas atualmente não há evidências que sugiram que ele represente uma ameaça significativa no futuro próximo”. E há uma razão simples para isso. De acordo com Zugec, “a qualidade do código de malware produzido por chatbots tende a ser baixa, tornando-o uma opção menos atraente para criadores de malware experientes que podem encontrar exemplos melhores em repositórios de código públicos”.
Portanto, embora certamente seja possível fazer com que o ChatGPT crie um código malicioso, qualquer pessoa que tenha as habilidades necessárias para manipular o chatbot de IA provavelmente não ficará impressionada com o código ruim que ele cria, acredita Zugec.
Mas, como você pode imaginar, a IA generativa está apenas começando. E para Long, isso significa que os riscos de hacking apresentados pelo ChatGPT ainda não estão definidos.
“É possível que o surgimento de bots de IA baseados em LLM leve a um aumento de pequeno a moderado em novos malwares ou a uma melhoria nas capacidades de malware e evasão de antivírus”, diz Long, usando um acrônimo para os grandes modelos de linguagem que a IA ferramentas como o ChatGPT usam para construir seu conhecimento. “Neste ponto, porém, não está claro quanto impacto direto ferramentas como ChatGPT estão fazendo, ou farão, em ameaças de malware do mundo real.”
amigo de um pescador
Se as habilidades de escrita de código do ChatGPT ainda não estiverem prontas, isso poderia ser uma ameaça de outras maneiras, como escrever campanhas de phishing e engenharia social mais eficazes? Aqui, os analistas concordam que há muito mais potencial para uso indevido.
Para muitas empresas, um possível vetor de ataque são os funcionários da empresa, que podem ser enganados ou manipulados para fornecer acesso inadvertidamente onde não deveriam. Os hackers sabem disso, e houve muitos ataques de engenharia social de alto perfil que se mostraram desastrosos. Por exemplo, acredita-se que o Lazarus Group da Coreia do Norte começou sua invasão em 2014 nos sistemas da Sony – resultando no vazamento de filmes inéditos e informações pessoais – fazendo-se passar por um recrutador de empregos e fazendo com que um funcionário da Sony abrisse um arquivo infectado.
Essa é uma área em que o ChatGPT pode ajudar drasticamente hackers e phishers a melhorar seu trabalho. Se o inglês não for o idioma nativo de um agente de ameaças, por exemplo, eles podem usar um chatbot de IA para escrever um e-mail de phishing convincente para eles, destinado a falantes de inglês. Ou pode ser usado para criar rapidamente um grande número de mensagens convincentes em muito menos tempo do que os agentes de ameaças humanos levariam para fazer a mesma tarefa.
As coisas podem ficar ainda piores quando outras ferramentas de IA são lançadas na mistura. Como Karen Renaud, Merrill Warkentin e George Westerman postularam no Sloan Management Review do MIT, um fraudador poderia gerar um script usando o ChatGPT e fazer com que ele fosse lido pelo telefone por uma voz profunda que se fazia passar pelo CEO de uma empresa. Para um funcionário da empresa que recebesse a ligação, a voz soaria – e agiria – exatamente como seu chefe. Se aquela voz pedir ao funcionário para transferir uma quantia em dinheiro para uma nova conta bancária, o funcionário pode cair no ardil devido à deferência que presta ao patrão.
Como diz Long, “Não faça mais [threat actors] precisam confiar em suas próprias habilidades de inglês (muitas vezes imperfeitas) para escrever um e-mail fraudulento convincente. Eles também não devem criar suas próprias palavras inteligentes e executá-las no Google Tradutor. Em vez disso, o ChatGPT – totalmente inconsciente do potencial de intenção maliciosa por trás da solicitação – escreverá com prazer todo o texto do e-mail fraudulento em qualquer idioma desejado.
E tudo o que é necessário para que o ChatGPT realmente faça isso é uma sugestão inteligente.
O ChatGPT pode aumentar sua segurança cibernética?
No entanto, nem tudo é ruim. As mesmas características que tornam o ChatGPT uma ferramenta atraente para agentes de ameaças – sua velocidade, sua capacidade de encontrar falhas no código – o tornam um recurso útil para pesquisadores de segurança cibernética e empresas de antivírus.
Long aponta que os pesquisadores já estão usando chatbots de IA para encontrar vulnerabilidades ainda não descobertas (“dia zero”) no código, simplesmente fazendo o upload do código e pedindo ao ChatGPT para ver se ele pode identificar possíveis pontos fracos. Isso significa que a mesma metodologia que poderia enfraquecer as defesas pode ser usada para fortalecê-las.
E embora a principal atração do ChatGPT para os agentes de ameaças possa estar em sua capacidade de escrever mensagens de phishing plausíveis, esses mesmos talentos podem ajudar a treinar empresas e usuários sobre o que procurar para evitar serem enganados. Ele também pode ser usado para fazer engenharia reversa de malware, ajudando pesquisadores e empresas de segurança a desenvolver contramedidas rapidamente.
Por fim, o ChatGPT por si só não é inerentemente bom ou ruim. Como aponta Zugec, “o argumento de que a IA pode facilitar o desenvolvimento de malware pode se aplicar a qualquer outro avanço tecnológico que tenha beneficiado os desenvolvedores, como software de código aberto ou plataformas de compartilhamento de código”.
Em outras palavras, enquanto as salvaguardas continuarem melhorando, a ameaça representada até mesmo pelos melhores chatbots de IA pode nunca se tornar tão perigosa quanto foi previsto recentemente.
Como se manter seguro
Se você está preocupado com as ameaças representadas pelos chatbots de IA e com o malware que eles podem ser usados para criar, existem algumas etapas que você pode seguir para se proteger. Zugec diz que é importante adotar uma “abordagem de defesa em várias camadas” que inclui “implementar soluções de segurança de endpoint, manter software e sistemas atualizados e permanecer vigilante contra mensagens ou solicitações suspeitas”.
Long, enquanto isso, recomenda evitar arquivos que você é automaticamente solicitado a instalar ao visitar um site. Quando se trata de atualizar ou baixar um aplicativo, obtenha-o na loja oficial de aplicativos ou no site do fornecedor do software. E seja cauteloso ao clicar nos resultados da pesquisa ou fazer login em um site – os hackers podem simplesmente pagar para colocar seus sites fraudulentos no topo dos resultados da pesquisa e roubar suas informações de login com sites parecidos cuidadosamente criados.
O ChatGPT não vai a lugar nenhum, nem o malware que causa tantos danos em todo o mundo. Embora a ameaça da capacidade de codificação do ChatGPT possa ser exagerada por enquanto, sua proficiência na criação de e-mails de phishing pode causar todos os tipos de dores de cabeça. No entanto, é muito possível proteger-se da ameaça que representa e garantir que você não seja vítima. No momento, muita cautela – e um aplicativo antivírus sólido – podem ajudar a manter seus dispositivos sãos e salvos.
Recomendações dos editores