A inteligência artificial (IA) generativa tem avançado muito nos últimos anos, permitindo a criação de textos e imagens realistas a partir de simples comandos.
ChatGPT é um chatbot que usa IA para responder a perguntas e realizar tarefas de forma que imita a ação humana. As pessoas podem usá-lo para criar documentos, escrever código básico de computador, criar imagens, pesquisar e criar textos e artigos, criar planos estratégicos e fazer muitas outras coisas. O serviço procura bloquear as solicitações para gerar conteúdo potencialmente ilegal, a princípio. No entanto, essa tecnologia também pode ser usada para fins nefastos, como demonstram alguns ciberdelinquentes que afirmam ter criado seus próprios clones do famoso chatbot ChatGPT da OpenAI.
Hackers encontraram uma maneira simples de contornar essas restrições e estão usando-a para vender serviços ilícitos em um fórum de crime na dark web, segundo pesquisadores de segurança que monitoram a atividade. A técnica funciona usando a interface de programação de aplicativos (API) para um dos modelos GPT-3 da OpenAI, conhecido como text-davinci-003, em vez de ChatGPT, que é uma variante dos modelos GPT-3 projetada especificamente para aplicações de chatbot. A OpenAI disponibiliza a API text-davinci-003 e outras APIs de modelos para os desenvolvedores integrarem o chatbot de IA em seus aplicativos. Acontece que as versões da API não impõem restrições ao conteúdo malicioso.
Um dos chatbots anunciados na dark web é o WormGPT, que se apresenta como uma alternativa blackhat aos modelos GPT, projetada especificamente para atividades maliciosas. O autor do software se identifica como "Worm" e afirma que o WormGPT é o "maior inimigo do conhecido ChatGPT" e que "permite fazer todo tipo de coisa ilegal".
Os objetivos do WormGPT são variados, mas todos envolvem algum tipo de crime cibernético. A ferramenta é capaz de escrever e-mails phishing convincentes, personalizados para o destinatário, aumentando as chances de sucesso do ataque. Além disso, o WormGPT pode gerar códigos maliciosos, criar malware indetectável, encontrar vulnerabilidades e vazamentos, criar páginas de phishing e ferramentas de hacking, entre outras coisas.
Os criminosos cibernéticos estão usando o WormGPT para automatizar e escalar seus ataques, sem precisar de muito conhecimento técnico. Com o WormGPT, os criminosos podem enganar as vítimas com facilidade, fazendo-se passar por pessoas ou entidades confiáveis, solicitando informações sensíveis ou induzindo a ações prejudiciais. O WormGPT também pode ser usado para explorar as falhas de segurança dos sistemas de IA generativos, como o ChatGPT e o Bard.
Os riscos do WormGPT são enormes, pois ele pode causar danos financeiros, reputacionais e operacionais às organizações e indivíduos. O WormGPT pode comprometer a confiança na comunicação digital, dificultar a detecção e prevenção de ataques e facilitar a propagação de conteúdos falsos ou ofensivos. O WormGPT representa uma ameaça à segurança cibernética e à sociedade em geral. Esses tipos de ataque podem comprometer a confidencialidade, integridade e disponibilidade das informações e dos sistemas das organizações.
As empresas podem adotar práticas e ações, na maioria idênticas às sugeridas para o ambiente hostil cibernético: