ChatGPT pode ser ferramenta na mão do cibercrime?

* Flávio Silva

Clique nos links para visualizar as fotos em alta resolução de Flávio Silva, gerente e especialista de Segurança da Informação da Trend Micro Brasil

Desde que o ChatGPT tomou conta das rodas de conversa quem trabalha com segurança cibernética tem sido questionado sobre os riscos da aplicação de inteligência artificial desenvolvida pela OpenAI. Principalmente depois que a equipe vencedora da maratona tecnológica realizada em Miami, no mês passado, admitiu ter usado o ChatGPT para desenvolver um ataque de execução remota de código.

Mas calma! O bot de Inteligência Artificial (IA) não ganhou sozinho a competição, muito menos encontrou a vulnerabilidade ou escreveu um código para explorar uma falha específica. A abordagem dos pesquisadores demonstrou que a ferramenta pode complementar o know-how dos hackers, ou seja, ser um assistente útil para quando este se deparar com um pedaço de código com o qual não está familiarizado ou com uma defesa inesperada.

No evento de três dias, conhecido como Pwn2Own, os competidores tinham que interromper, invadir e assumir a Internet das Coisas e os sistemas industriais, localizando vulnerabilidades. Após mapear um bug num aplicativo de código aberto utilizado na comunicação máquina a máquina, a dupla de pesquisadores recorreu ao ChatGPT para acelerar o trabalho de codificação.

Entretanto, a equipe admitiu que foi necessário fornecer informações à IA e realizar algumas rodadas de correções e alterações “menores” até chegar a um módulo de servidor de back-end viável. Ou seja, foi preciso fazer as perguntas certas, e ignorar as respostas erradas.

Isso demonstra que diferente de um buscador “padrão” da internet, o ChatGPT tem a capacidade não só de trazer respostas a algumas perguntas, mas também de criar e solucionar problemas. Ao executar uma tarefa que a pessoa não está tão familiarizada, a ferramenta consegue preencher as lacunas de conhecimento, automatizando e agilizando os processos.

Vale destacar que o usuário precisa conduzir o bot, já que a ferramenta possui filtros que a impede de criar coisas potencialmente maliciosas, como um ransomware, por exemplo. Desta forma, ela não é uma ameaça por si só, mas bem orientada pode juntar os pontos, criando um script específico que será utilizado em uma fase do ataque na qual o criminoso não tinha domínio pleno da linguagem de programação.

Acredito que o ChatGPT é o início do acesso do Machine Learning e da Inteligência Artificial a uma parte maior da população. O acesso a esse tipo de tecnologia que sempre foi mais fechado e com fins específicos agora está cada vez mais presente no nosso dia a dia, embarcada em smartphones, assistentes de voz, smart TVs e carros, entre outros objetos.

Mas pela sua grande capacidade de absorver conhecimento e por ser facilmente treinada pode se tornar um primeiro passo para algo mais. Temos que acompanhar de perto as aplicações da ferramenta de IA. O ChatGPT de hoje ainda é muito imprevisível e suscetível a erros para ser uma arma confiável para o cibercrime. Mas certamente será agregada ao arsenal de ameaças de segurança.

A colaboração humano x inteligência artificial está ganhando impulso e os líderes precisam estar atentos a evolução dessas tecnologias. Mais do que nunca é preciso entender a importância de ter visibilidade da superfície de ataque das empresas e adotar um plano estratégico contra as velhas e novas ameaças.

Flávio Silva, gerente e especialista de Segurança da Informação da Trend Micro Brasil.