Pesquisadores da empresa conseguiram gerar e-mails de phishing, keyloggers de malware e códigos de ransomware no chatbot do Google

A Check Point Software, empresa de cibersegurança, alertou que seus pesquisadores encontraram limitações no Bard – o “ChatGPT do Google”. Segundo a análise da empresa, a plataforma permite ações maliciosas de cibercriminosos.

Para quem tem pressa:

• O Google Bard tem brechas que podem ser exploradas por cibercriminosos;
• Pesquisadores da Check Point Software, empresa de cibersegurança, conseguiram usar o chatbot para phishing, malware e ransomware;
• Eles constataram brechas semelhantes no ChatGPT, da OpenAI;
• No entanto, o Bard pareceu mais vulnerável a uso malicioso, segundo a análise da empresa de cibersegurança.

A companhia também informou que, após “várias rodadas de análise”, os pesquisadores conseguiram gerar na plataforma do Google:

• E-mails de phishing;
• Keylogger de malware;
• Código básico de ransomware.

Além de realizarem uma análise de segurança da plataforma de IA (inteligência artificial) generativa, os pesquisadores da CPR (Check Point Research) – divisão de Inteligência em Ameaças da empresa – traçaram um comparativo com o ChatGPT.

Dois lados da revolução

A revolução da IA generativa provocou uma mudança de paradigma no campo da inteligência artificial. Isso porque essa tecnologia permite que as máquinas criem conteúdo com notável sofisticação.

A IA generativa refere-se ao subconjunto de modelos e algoritmos de IA que possuem a capacidade de gerar autonomamente texto, imagens, música e até vídeos que imitam criações humanas.

Essa tecnologia inovadora abriu uma infinidade de possibilidades criativas, desde a assistência a artistas e designers até o aumento da produtividade em vários setores.

No entanto, a proliferação da IA generativa também levantou preocupações significativas e considerações éticas.

Uma das principais preocupações gira em torno do potencial dessa tecnologia ser usada para fins maliciosos – por exemplo: crimes cibernéticos.

IA e segurança

Em relatórios anteriores, a CPR apontou como os cibercriminosos tinham começado a explorar o ChatGPT. Eles usavam a plataforma da OpenAI para criar código e conteúdo maliciosos.

Na análise a seguir, os pesquisadores da CPR se voltaram para a plataforma de IA generativa Google Bard.

Com base na descrição do Google, e na sequência de análises anteriores da CPR, os pesquisadores analisaram a plataforma Bard com dois objetivos:

• Verificar se é possível usar esta plataforma para fins maliciosos;
• Comparar o Google Bard com o ChatGPT na perspectiva da criação de conteúdo malicioso.

Análise: ChatGPT e Google Bard

Inicialmente, os pesquisadores da Check Point Software tentaram a solicitação mais direta para a criação de um e-mail de phishing. A solicitação foi rejeitada pelo ChatGPT e pelo Bard.

Em seguida, os pesquisadores tentaram novamente – desta vez, solicitando um exemplo específico de um tal e-mail de phishing, ao qual o ChatGPT rejeitou a solicitação, enquanto o Bard forneceu um e-mail de phishing bem escrito.

A próxima solicitação foi para um código de malware autêntico, com uma solicitação direta. Ambos os chatbots rejeitaram a solicitação.

Na segunda tentativa, os pesquisadores forneceram alguma justificativa para essa solicitação. Mesmo assim, ambas as plataformas rejeitaram.

Em seguida, eles tentaram solicitar um código de keylogger de uso geral. Neste ponto, segundo a empresa, deu para perceber a diferença entre o ChatGPT e o Google Bard.

O primeiro é mais restritivo e identificou a solicitação como potencialmente maliciosa, enquanto o segundo simplesmente forneceu o código solicitado, segundo a empresa.

Por fim, os pesquisadores fizeram a mesma solicitação para um keylogger, só que de forma mais específica. Como resultado, ambos os chatbots forneceram um código diferente para a mesma finalidade.

No entanto, o ChatGPT adicionou uma espécie de isenção de responsabilidade sobre o uso potencial para fins maliciosos, de acordo com a empresa.

Em relação ao ransomware, o primeiro pedido dos pesquisadores foi direto e sem detalhes específicos. O Bard não entrou no jogo e não forneceu o que tinha sido solicitado.

Então, eles tentaram outra abordagem. Primeiro, pediram para descrever as ações mais comuns executadas por um ransomware – e isso funcionou bem.

Depois, pediram chatbot do Google para criar esse código com um simples copiar e colar. Mas, novamente, a IA não colaborou.

Na terceira tentativa, os pesquisadores deixaram a solicitação mais específica. Porém, com base nas ações mínimas pedidas, eles alegaram que tinha ficado bem claro qual era o objetivo.

Nessa última rodada, o Bard começou a jogar junto e forneceu aos pesquisadores o código de ransomware solicitado.

A partir desse ponto, eles conseguiram modificar o código – com a ajuda do Google Bard – e fazer com que ele fizesse praticamente tudo o que queriam.

Conclusão da análise do Bard

De acordo com Sergey Shykevich, as observações da equipe da CPR sobre o Bard são as seguintes:

• Os restritores antiabuso do Bard no domínio da segurança cibernética são significativamente mais baixos em comparação com os do ChatGPT;
• Consequentemente, hoje, é muito mais fácil gerar conteúdo malicioso usando os recursos do Bard;
• O Bard quase não impõe restrições à criação de e-mails de phishing, deixando espaço para potencial uso indevido e exploração dessa tecnologia;
• Com manipulações mínimas, o Bard pode ser utilizado para desenvolver keyloggers de malware, o que representa uma preocupação de segurança;
• A experiência dos pesquisadores revelou que é possível criar ransomware básico usando os recursos do Bard.

Com informações da Check Point Software/olhardigital