Cibercriminosos começaram a usar o chatbot de inteligência artificial ChatGPT da OpenAI para criar ferramentas de hacking, alertaram pesquisadores de segurança cibernética na sexta-feira. Os golpistas também estão testando a capacidade do ChatGPT de construir outros chatbots projetados para se passar por mulheres jovens para atrair alvos, disse à Forbes um especialista em monitoramento de fóruns criminais.
Muitos dos primeiros usuários do ChatGPT alertaram que o aplicativo, que se tornou viral nos dias após seu lançamento em dezembro, poderia codificar um software malicioso capaz de espionar as teclas digitadas dos usuários ou criar ransomware.
Fóruns criminosos clandestinos finalmente pegaram, de acordo com um relatório da empresa de segurança israelense Check Point. Em uma postagem no fórum analisada pela Check Point, um hacker que já havia compartilhado malware para Android exibiu um código escrito pelo ChatGPT que roubava arquivos de interesse, os comprimia e os enviava pela web. Eles mostraram outra ferramenta que instalava um backdoor em um computador e podia enviar mais malware para um PC infectado.
No mesmo fórum, outro usuário compartilhou um código Python que poderia criptografar arquivos, dizendo que o aplicativo da OpenAI os ajudou a criá-lo. Eles alegaram que foi o primeiro roteiro que desenvolveram. Como a Check Point observou em seu relatório, esse código pode ser usado para fins totalmente benignos, mas também pode “ser facilmente modificado para criptografar a máquina de alguém completamente sem qualquer interação do usuário”, semelhante à maneira como o ransomware funciona. O mesmo usuário do fórum já havia vendido acesso a servidores hackeados da empresa e dados roubados, observou a Check Point.
Um usuário também discutiu “abusar” do ChatGPT fazendo com que ele ajudasse a codificar recursos de um mercado da dark web, semelhante a bazares de drogas como Silk Road ou Alphabay. Como exemplo, o usuário mostrou como o bot de bate-papo pode criar rapidamente um aplicativo que monitora os preços das criptomoedas para um sistema de pagamento teórico.
Alex Holden, fundador da empresa de inteligência cibernética Hold Security, disse que viu golpistas de namoro começarem a usar o ChatGPT também, enquanto tentam criar personas convincentes. “Eles estão planejando criar chatbots para representar principalmente meninas para ir mais longe nos chats com suas marcas”, disse ele. “Eles estão tentando automatizar conversas ociosas.”
A OpenAI não respondeu a um pedido de comentário no momento da publicação.
Embora as ferramentas codificadas pelo ChatGPT pareçam “bastante básicas”, a Check Point disse que era apenas uma questão de tempo até que hackers mais “sofisticados” encontrassem uma maneira de usar a IA a seu favor. Rik Ferguson, vice-presidente de inteligência de segurança da empresa americana de segurança cibernética Forescout, disse que não parecia que o ChatGPT ainda fosse capaz de codificar algo tão complexo quanto as principais cepas de ransomware que foram vistas em incidentes de hackers significativos nos últimos anos, como Conti, famoso por seu uso na violação do sistema nacional de saúde da Irlanda. A ferramenta da OpenAI, no entanto, reduzirá a barreira de entrada para os novatos entrarem nesse mercado ilícito, criando um malware mais básico, mas igualmente eficaz, acrescentou Ferguson.
Ele levantou outra preocupação de que, em vez de criar um código que roube os dados das vítimas, o ChatGPT também poderia ser usado para ajudar a criar sites e bots que enganam os usuários para que compartilhem suas informações. Ele poderia “industrializar a criação e personalização de páginas da web maliciosas, campanhas de phishing altamente direcionadas e golpes dependentes de engenharia social”, acrescentou Ferguson.
Sergey Shykevich, pesquisador de inteligência de ameaças da Check Point, disse à Forbes que o ChatGPT será uma “ótima ferramenta” para hackers russos que não são adeptos do inglês para criar e-mails de phishing de aparência legítima.
Quanto às proteções contra o uso criminoso do ChatGPT, Shykevich disse que, em última análise, e “infelizmente”, teria que ser aplicado com regulamentação. A OpenAI implementou alguns controles, evitando solicitações óbvias para o ChatGPT criar spyware com avisos de violação de política, embora hackers e jornalistas tenham encontrado maneiras de contornar essas proteções. Shykevich disse que empresas como a OpenAI podem ter que ser obrigadas legalmente a treinar sua IA para detectar tal abuso.
Por Thomas Brewster