Desde o seu lançamento no ano passado, o ChatGPT criou ondas entre os entusiastas da tecnologia com sua capacidade de escrever artigos, poemas, roteiros de filmes e muito mais. A ferramenta AI pode até gerar código funcional, caso receba um prompt bem escrito e claro. Embora a maioria dos desenvolvedores use o recurso para fins completamente inofensivos, um novo relatório sugere que o ChatGPT também pode ser usado por agentes mal-intencionados para criar malware para roubo de dados, apesar das salvaguardas implementadas pelo OpenAI.
Leia também: É assim que o ChatGPT pode ajudá-lo a conseguir um novo emprego de software
ChatGPT e o roubo de Dados
Um pesquisador de segurança cibernética afirma ter usado o ChatGPT para desenvolver uma exploração de dia zero que pode roubar dados de um dispositivo comprometido. Alarmantemente, o malware evitou a detecção de todos os fornecedores do VirusTotal.
Aaron Mulgrew, da Forcepoint, disse que decidiu logo no início do processo de criação do malware não escrever nenhum código e usar apenas técnicas avançadas que são normalmente empregadas por agentes de ameaças sofisticados, como estados-nação desonestos.
Descrevendo-se como um “novato” no desenvolvimento de malware, Mulgrew disse que usou a linguagem de implementação Go não apenas por sua facilidade de desenvolvimento, mas também porque poderia depurar manualmente o código, se necessário. Ele também usou a esteganografia, que oculta dados secretos em um arquivo ou mensagem regular para evitar a detecção.
Mulgrew começou pedindo diretamente ao ChatGPT para desenvolver o malware, mas isso fez com que as proteções do chatbot entrassem em ação e ele se recusou terminantemente a realizar a tarefa por motivos éticos.
Ele então decidiu ser criativo e pediu à ferramenta de IA para gerar pequenos trechos de código auxiliar antes de juntar manualmente todo o executável.
Desta vez, ele teve sucesso em sua empreitada, com o ChatGPT criando o código contencioso que ignorou a detecção por todos os aplicativos antimalware no VirusTotal.
No entanto, ofuscar o código para evitar a detecção provou ser complicado, pois o ChatGPT reconhece essas solicitações como antiéticas e se recusa a cumpri-las.
Ainda assim, Mulgrew conseguiu fazer isso depois de apenas algumas tentativas. Na primeira vez que o malware foi carregado no VirusTotal, cinco fornecedores o sinalizaram como malicioso. Após alguns ajustes, o código foi ofuscado com sucesso e nenhum dos fornecedores o identificou como malware.
Mulgrew disse que todo o processo levou “apenas algumas horas”. Sem o chatbot, ele acredita que uma equipe de 5 a 10 desenvolvedores levaria semanas para criar o software malicioso e garantir que ele pudesse escapar da detecção por aplicativos de segurança.
Enquanto Mulgrew criou o malware para fins de pesquisa, ele disse que um ataque teórico de dia zero usando essa ferramenta poderia atingir indivíduos de alto valor para exfiltrar documentos críticos na unidade C.