0
0
A capacidade vertiginosa da OpenAI de aspirar grandes quantidades de dados e produzir conteúdo personalizado deu início a todos os tipos de previsões preocupantes sobre a capacidade da tecnologia de dominar tudo – incluindo as defesas de segurança cibernética.
De fato, a última iteração do ChatGPT, GPT-4, é inteligente o suficiente para passar no exame da ordem, gerar milhares de palavras de texto e escrever códigos maliciosos. E, graças à sua interface simplificada que qualquer um pode usar, as preocupações de que as ferramentas OpenAI poderiam transformar qualquer aspirante a ladrão em um codificador malicioso tecnicamente experiente em momentos eram, e ainda são, bem fundamentadas. Os ataques cibernéticos habilitados para ChatGPT começaram a aparecer logo após a estreia de sua interface amigável em novembro de 2022.
O cofundador da OpenAI, Greg Brockman, disse a uma multidão reunida no SXSW este mês que está preocupado com o potencial da tecnologia para fazer duas coisas específicas muito bem: espalhar desinformação e lançar ataques cibernéticos.
” Agora que eles estão melhorando na escrita de código de computador, [OpenAI] pode ser usado para ataques cibernéticos ofensivos”, disse Brockman.
Nenhuma palavra sobre o que a OpenAI pretende fazer para mitigar a ameaça de segurança cibernética do chatbot, no entanto. Por enquanto, parece caber à comunidade de segurança cibernética montar uma defesa.
Existem salvaguardas atuais implementadas para impedir que os usuários usem o ChatGPT para fins não intencionais ou para conteúdo considerado muito violento ou ilegal, mas os usuários estão encontrando rapidamente soluções alternativas de jailbreak para essas limitações de conteúdo.
Essas ameaças merecem preocupação, mas um grupo crescente de especialistas, incluindo um post recente do Centro Nacional de Segurança Cibernética do Reino Unido, está moderando as preocupações sobre os verdadeiros perigos para as empresas com o surgimento do ChatGPT e dos modelos de linguagem grandes (LLMs).
A Ameaça Cibernética Atual do ChatGPT
Os produtos de trabalho dos chatbots podem economizar tempo cuidando de tarefas menos complexas, mas quando se trata de realizar trabalhos especializados, como escrever códigos maliciosos, a capacidade do OpenAI de fazer isso do zero ainda não está realmente pronta para o horário nobre, explicou a postagem do blog do NCSC.
” Para tarefas mais complexas, atualmente é mais fácil para um especialista criar o malware do zero, em vez de gastar tempo corrigindo o que o LLM produziu”, disse o post sobre ameaças cibernéticas do ChatGPT . ” No entanto, um especialista capaz de criar malware altamente capaz provavelmente será capaz de persuadir um LLM a escrever malware capaz.”
O problema com o ChatGPT como uma ferramenta de ataque cibernético por si só é que ele não tem a capacidade de testar se o código que está criando realmente funciona ou não, diz Nathan Hamiel, diretor sênior de pesquisa da Kudelski Security.
“Concordo com a avaliação do NCSC”, diz Hamiel. “ChatGPT responde a cada solicitação com um alto grau de confiança, seja certo ou errado, seja gerando código funcional ou não funcional.”
De forma mais realista, diz ele, os invasores cibernéticos poderiam usar o ChatGPT da mesma forma que usam outras ferramentas, como testes de penetração.
Ameaça do ChatGPT “massivamente exagerada”
O dano para as equipes de TI é que os riscos exagerados de segurança cibernética atribuídos ao ChatGPT e OpenAI estão sugando recursos já escassos de ameaças mais imediatas, como aponta Jeffrey Wells, sócio da Sigma7.
” As ameaças do ChatGPT são superestimadas”, diz Wells. “A tecnologia ainda está engatinhando, e há pouca ou nenhuma razão para que um agente de ameaça queira usar o ChatGPT para criar código malicioso quando há uma abundância de malware existente ou crime como serviço (CaaS) que pode ser usado para explorar a lista de vulnerabilidades conhecidas e crescentes.”
Em vez de se preocupar com o ChatGPT, as equipes de TI corporativas devem concentrar sua atenção nos fundamentos da segurança cibernética, gerenciamento de riscos e estratégias de alocação de recursos, acrescenta Wells.
O valor do ChatGPT, bem como uma série de outras ferramentas disponíveis para os agentes de ameaças, se resume à sua capacidade de explorar o erro humano, diz o fundador e CTO da Bugcrowd, Casey Ellis. O remédio é a resolução humana de problemas, observa ele.
“Toda a razão pela qual nossa indústria existe é por causa da criatividade humana, falhas humanas e necessidades humanas”, diz Ellis. “Sempre que a automação ‘resolve’ uma parte do problema de defesa cibernética, os invasores simplesmente inovam além dessas defesas com técnicas mais recentes para atender a seus objetivos.”
Mas Patrick Harr, CEO da SlashNext, alerta as organizações para não subestimarem a ameaça de longo prazo que o ChatGPT pode representar. As equipes de segurança, enquanto isso, devem procurar alavancar LLMs semelhantes em suas defesas, diz ele.
“Sugerir que o ChatGPT é de baixo risco é como colocar a cabeça na areia e continuar como se ele não existisse”, diz Harr. “O ChatGTP é apenas o começo da revolução generativa da IA, e a indústria precisa levar isso a sério e se concentrar no desenvolvimento da tecnologia de IA para combater as ameaças transmitidas pela IA”.
FONTE: DARK READING