O ChatGPT é um chatbot, um robot de conversação, que utiliza Inteligência Artificial (IA) para dar respostas às questões que forem formuladas. O seu nome, apesar de terminar em PT, nada tem a ver com Portugal. Quer antes dizer: “Chat Generative Pre-trained Transformer”.
As respostas por si fornecidas são, no entanto, muito elaboradas e detalhadas a um ponto que quase parece que poderiam ter sido dadas por um humano ou mesmo alguém especialista no tema sobre o qual se está a questionar.
Esta tecnologia surgiu em novembro do ano passado quando foi disponibilizada ao público e está a ser encarada como uma ameaça séria, ao ponto de, nos EUA, algumas escolas públicas terem bloqueado o uso do ChatGPT nas suas redes internas e nos dispositivos nas zonas onde se inserem, na tentativa de evitar que os estudantes recorram ao sistema para concluir trabalhos de casa, dado que a tecnologia tem a capacidade de redigir textos razoavelmente estruturados.
O ChatGPT pode explicar conceitos científicos complexos melhor do que muitos professores, escrever música e tem a capacidade de gerar praticamente qualquer tipo de texto com base no pedido do utilizador.
Nos EUA, a capacidade do ChatGPT foi testada para redigir uma proposta de lei (veja aqui).
Também em França, a universidade Sciences Po, Instituto de Estudos Políticos de Paris, proibiu os alunos de usarem a ferramenta de conversação ChatGPT, ameaçando-os de que os estudantes podem até vir a ser expulsos da instituição.
As respostas podem nem sempre ser corretas do ponto de vista de conteúdo, ainda que, do ponto de vista da formulação, aparentam ser irrepreensíveis, dado que a inteligência artificial acede, em segundos a milhares de conteúdos sobre o tema.
Há ainda outras ressalvas que são feitas a respeito desta tecnologia: o ChatGPT tem um conhecimento limitado do mundo e de eventos depois de 2021 e não fornece links ou fontes que comprovem as informações fornecidas.
Um aspeto curioso, que lembra as Leis da Robótica de Isac Asimov, é que os developers deste ChatGPT programaram o sistema para não ser utilizado para responder a perguntas violentas.
O ChatGPT foi desenvolvido pela empresa OpenAI, que tem, entre os seus fundadores o bilionário e excêntrico fundador da Tesla, Elon Musk. A Microsoft está entre os seus parceiros e investidores principais.
A sofisticação do algoritmo desenvolvido pela OpenAI tem atraído a atenção de grandes empresas tecnológicas, como a Microsoft e a Google, e agora está também a atrair os cibercriminosos.
Alerta para a cibersegurança
Depois da Check Point Research ter alertado para a possibilidade do ChatGPT ser capaz de escrever e-mails de phishing e malware, agora é a vez da empresa de cibersegurança Kaspersky destacar que o aparecimento do ChatGPT nas mãos do público em geral pode alterar as regras estabelecidas do mundo da cibersegurança.
O ChatGPT é “principalmente um modelo de linguagem AI que cria textos convincentes que são difíceis de distinguir dos textos escritos por humanos. Assim, os cibercriminosos já estão a tentar aplicar esta tecnologia aos ataques de spear-phishing”, refere a Kaspersky.
“O ChatGPT está preparado para alterar drasticamente o equilíbrio de poder”, refere a Kaspersky.
“Anteriormente, o principal obstáculo que impedia de realizar campanhas de spear-phishing em massa era o facto de ser um ataque bastante dispendioso, pois era necessário escrever cada correio eletrónico visado. O ChatGPT está preparado para alterar drasticamente o equilíbrio de poder, porque pode permitir aos attackers gerar e-mails de phishing persuasivos e personalizados a uma escala industrial”, adverte a Kaspersky.
De acordo com estes especialistas, “pode até estilizar a correspondência, criando mensagens eletrónicas falsas convincentes aparentemente de um empregado para outro. Infelizmente, isto significa que o número de ataques de phishing bem-sucedidos pode aumentar”.
“Muitos utilizadores já descobriram que o ChatGPT é capaz de gerar códigos, mas infelizmente isto inclui códigos de malware. A criação de um simples infostealer será possível sem ter qualquer habilidade de programação. No entanto, os utilizadores de linha reta não têm nada a temer. Se o código escrito por um bot for realmente utilizado, as soluções de segurança irão detetá-lo e neutralizá-lo tão rapidamente como o faz com todo o malware passado criado por humanos. Embora alguns analistas se preocupem que o ChatGPT possa mesmo criar malware único para cada vítima em particular, estas amostras ainda exibiriam um comportamento malicioso que muito provavelmente será notado por uma solução de segurança. Além disso, o malware escrito em bot é suscetível de conter erros subtis e falhas lógicas, o que significa que a automatização total da codificação malware está ainda por alcançar”, indica a Kaspersky.
“Muitos utilizadores já descobriram que o ChatGPT é capaz de gerar códigos, mas infelizmente isto inclui códigos de malware”, referem os especialistas da Kaspersky.
Embora a ferramenta possa ser útil para os atacantes, os defensores também podem beneficiar dela, salientam os especialistas da Kaspersky. “Por exemplo, o ChatGPT já é capaz de explicar rapidamente o que um determinado pedaço de código faz. Ele entra nas suas próprias condições SOC, onde os analistas constantemente sobrecarregados têm de dedicar um mínimo de tempo a cada incidente, pelo que qualquer ferramenta para acelerar o processo é bem-vinda. No futuro, os utilizadores verão provavelmente numerosos produtos especializados: um modelo de engenharia inversa para compreender melhor o código, um modelo de resolução de CTF, um modelo de pesquisa de vulnerabilidade, e muito mais”.
“Embora o ChatGPT não faça nada completamente malicioso, pode ajudar os atacantes numa variedade de cenários, por exemplo, escrevendo mensagens de correio eletrónico de phishing direcionadas de forma convincente. Contudo, neste momento, o ChatGPT não é definitivamente capaz de se tornar numa espécie de IA de hacking autónomo. O código malicioso que a rede neural gera não estará necessariamente a funcionar e ainda exigiria um especialista qualificado para o melhorar e implementar”, declara Vladislav Tushkanov, perito em segurança da Kaspersky.
Tushkanov acrescenta: “Embora o ChatGPT não tenha um impacto imediato na indústria e não altere o jogo da cibersegurança, as próximas gerações de IA provavelmente o farão. Nos próximos anos, poderemos ver como os modelos de linguagem de grande dimensão, tanto treinados em linguagem natural como em código de programação, são adaptados para casos de utilização especializada em cibersegurança. Estas alterações podem afectar uma vasta gama de actividades de cibersegurança, desde a caça à ameaça até à resposta a incidentes. Por conseguinte, as empresas de cibersegurança quererão explorar as possibilidades que as novas ferramentas darão, enquanto estão conscientes de como esta tecnologia poderá ajudar os cibercriminosos”.