Com o surgimento de uma série de plataformas de IA generativa, a começar pelo ChatGPT da OpenAI, a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, conduziu recentemente uma pesquisa de segurança do mais recente Google Bard e fez uma análise comparativa em relação ao ChatGPT.
O que os pesquisadores da CPR encontraram foram várias limitações de segurança em que a plataforma permite esforços maliciosos dos cibercriminosos. Após várias rodadas de análise, os pesquisadores foram capazes de gerar:
• E-mails de phishing (demonstrando pouca ou nenhuma restrição na criação de e-mails de phishing);
• Keylogger de malware (ferramenta de vigilância usada para monitorar e registrar cada pressionamento de tecla em um computador específico);
• Código básico de ransomware.
A revolução da IA generativa provocou uma mudança de paradigma no campo da inteligência artificial, permitindo que as máquinas criem e gerem conteúdo com notável sofisticação. A IA generativa refere-se ao subconjunto de modelos e algoritmos de IA que possuem a capacidade de gerar autonomamente texto, imagens, música e até vídeos que imitam criações humanas. Essa tecnologia inovadora abriu uma infinidade de possibilidades criativas, desde a assistência a artistas e designers até o aumento da produtividade em vários setores.
No entanto, a proliferação da IA generativa também levantou preocupações significativas e considerações éticas. Uma das principais preocupações gira em torno do potencial uso indevido dessa tecnologia para fins maliciosos, como o crime cibernético.
Em relatórios anteriores, a Check Point Research (CPR) relatou extensivamente como os cibercriminosos começaram a explorar a tecnologia revolucionária para uso malicioso, mais especificamente, criando código e conteúdo maliciosos na plataforma de IA generativa da OpenAI: ChatGPT.
Na análise a seguir, os pesquisadores da CPR se voltaram para a plataforma de IA generativa Google Bard. Com base na tecnologia LaMDA anterior, o Google descreveu o Bard como “um experimento baseado nessa mesma tecnologia que permite colaborar com IA generativa. Como um colaborador criativo e útil, o Bard pode sobrecarregar sua imaginação, aumentar sua produtividade e ajudar você a dar vida às suas ideias – quer você queira ajudar a planejar a festa de aniversário perfeita e redigir o convite, ou criando uma lista de prós e contras para uma grande decisão, ou simplesmente entender tópicos realmente complexos”.
“Mas, parece que, no início, o Google Bard não aprendeu as lições do processamento inicial da plataforma de IA do ChatGPT, referente à implementação das melhores medidas antiabuso relacionadas ao abuso cibernético e de phishing da plataforma. Deve-se notar que nos últimos seis meses, o ChatGPT realizou várias melhorias para tornar a vida dos cibercriminosos muito mais difícil quando eles tentam tirar proveito de sua plataforma. No entanto, o Google Bard ainda está em um estágio muito imaturo dessa perspectiva, embora se espere que, eventualmente, a plataforma examine e adote as limitações necessárias e os limites de segurança à medida que a ferramenta se desenvolve”, avalia Sergey Shykevich, gerente de Inteligência de Ameaça da Check Point Research.
Motivação para análise do Bard
Com base na descrição do Google, e na sequência de análises anteriores da CPR, os pesquisadores analisaram a plataforma Bard com dois objetivos principais:
1. Para verificar se é possível usar esta plataforma para fins maliciosos (por exemplo, criação de e-mail de phishing/malware/ransomware).
2. Comparar o Google Bard com o ChatGPT na perspectiva da criação de conteúdo malicioso.
A partir da análise realizada, o que a CPR conseguiu criar usando o Google Bard foram e-mails de phishing, keylogger de malware e código básico de ransomware.
ChatGPT versus Bard – o que foi encontrado
Inicialmente, os pesquisadores da Check Point Software tentaram a solicitação mais direta para a criação de um e-mail de phishing; tal solicitação foi rejeitada pelo ChatGPT e pelo Bard.
Em seguida, os pesquisadores tentaram novamente, mas, desta vez, solicitando um exemplo específico de um tal e-mail de phishing, ao qual o ChatGPT rejeitou a solicitação, enquanto o Bard forneceu um e-mail de phishing bem escrito, representando um serviço financeiro específico.
Conclusão da análise do Bard
De acordo com Sergey Shykevich, as observações da equipe da CPR sobre o Bard são as seguintes:
1. Os restritores antiabuso do Bard no domínio da segurança cibernética são significativamente mais baixos em comparação com os do ChatGPT. Consequentemente, hoje, é muito mais fácil gerar conteúdo malicioso usando os recursos do Bard.
2. O Bard quase não impõe restrições à criação de e-mails de phishing, deixando espaço para potencial uso indevido e exploração dessa tecnologia.
3. Com manipulações mínimas, o Bard pode ser utilizado para desenvolver keyloggers de malware, o que representa uma preocupação de segurança.
4. A experiência dos pesquisadores revelou que é possível criar ransomware básico usando os recursos do Bard.
“No geral, parece que o Bard do Google ainda não aprendeu totalmente com as lições de implementação de restrições antiabuso em áreas cibernéticas que ficaram evidentes no ChatGPT. As restrições existentes no Bard são relativamente básicas, à semelhança do que foi observado no ChatGPT durante a sua fase inicial de lançamento há vários meses, deixando-nos ainda a esperança de que estes sejam os trampolins para um longo caminho, e que a plataforma abrace as necessárias limitações e limites de segurança necessários”, conclui Shykevich.