O ChatGPT se tornou rapidamente o centro das atenções dentro de toda a comunidade Cyber. A novidade que a tecnologia da OpenAI representa já pode ser sentida em múltiplos setores dentro e fora do meio digital. Com a Cibersegurança não foi diferente: devido à ferramenta ainda não ter limites conhecidos, especialistas ligados à área trabalham para descobrir os potenciais desse novo recurso e os impactos que podem causar na operação, tanto no sentido positivo de cyber defesa, quanto no desafio que pode potencializar ataques cibernéticos.
Para Cristiane Dias, Head de SI e Governança na Aegea, grupos cibercriminosos precisam de um nível elevado de conhecimento sobre o ambiente Cyber para operar com sucesso. Mas a depender de como essa IA for alimentada, ela se torna mais simples para Ciberatacantes menos preparados. Conceitos elaborados podem ficar acessíveis pelos dados do ChatGPT e isso a torna útil também para uma gama de crimes além dos cibernéticos, como incitações à violência ou terrorismo.
“O ChatGPT é uma grande ferramenta. Mas a falta de um Double Check sobre as respostas buscadas pelos usuários a torna vulnerável a maus usos. Abre a possibilidade de ela começar a produzir dicionários de dados equivocados”, alerta Cristiane em entrevista à Security Report.
Ela lembra que o uso de feedbacks reais é muito importante para o desenvolvimento da IA do ChatGPT, pois permite refinar a plataforma com mais exatidão. No entanto, a inexistência de outras filtragens de conteúdo, mais especializadas, pode expor a aplicação às vontades de cibercriminosos, transformando-a em uma ferramenta facilitadora das atividades hackers.
“Quando damos um feedback, a máquina adiciona essa informação ao seu banco de dados para reconhecer aquela como uma resposta boa ou ruim para uma determinada pergunta. Assim, a comunidade cibercriminosa engana a IA para fazê-la entender que uma informação, vista anteriormente como maliciosa, na verdade é o melhor retorno para a pergunta”, diz a executiva.
A Head de SI sugere acrescentar um segundo filtro com base em fontes confiáveis de informação, antes mesmo de ela ser registrada pela IA. Isso deve incluir tanto a Microsoft quanto outras companhias comprometidas com a Segurança, possibilitando somente lançar o dado suspeito na plataforma depois de uma revisão detalhada.
Potencial de risco
As primeiras descobertas mostram um potencial de facilitar processos de ataques para o Cibercirme de menor capacidade técnica. Em demonstração de resultados, o Cientista Líder de Dados, Vladislav Tushkanov, citou a capacidade de indicar métodos de hacking ofensivo, e a geração de textos para e-mails spam, e-mails spear-phishing e códigos base para gerar malwares.
“O ChatGPT tem como principal fonte de alimentação de dados os feedbacks reais dos seres humanos. Para isso, ele usa técnicas de reforço de aprendizagem para formar instruções e agir exatamente como um operador real gostaria que ele agisse. Isso permite à máquina gerar respostas detalhadas para as perguntas direcionadas a ele”, explicou Tushkanov.
Na visão do Gerente de Segurança da Informação Alexander Procaci, ainda é preliminar afirmar que o ChatGPT oferece riscos altos e imediatos à comunidade Cyber. Portanto, no momento, a melhor ação é investir na conscientização dos usuários, orientando que esta e outras tecnologias devem ser usadas de maneira ética e responsável para proteger a Segurança da Informação.
“Os Ciberataques estão cada vez mais avançados. Eles estão buscando novos métodos de exploração das vulnerabilidades e é evidente que se uma ferramenta poderosa como o ChatGPT for utilizada de forma a apoiar na elaboração de novos ataques, será mais uma ferramenta robusta na mão de cibercriminosos”, conclui Procaci.